Source: Microsoft (Digital Crimes Unit) — Microsoft annonce une action juridique coordonnée aux États-Unis et, pour la première fois, au Royaume‑Uni, appuyée par des autorités allemandes et Europol, pour perturber RedVDS, un service d’abonnement fournissant des ordinateurs virtuels jetables utilisés dans des fraudes massives. L’opération a permis la saisie d’infrastructures clés et la mise hors ligne de la place de marché RedVDS.

RedVDS s’inscrit dans l’écosystème cybercrime-as-a-service en offrant, dès 24 USD par mois, des machines virtuelles discrètes et éphémères fonctionnant avec des logiciels non licenciés, dont Windows. Ce service a été massivement exploité pour envoyer des campagnes de phishing à haut volume, héberger de l’infrastructure de scam, et faciliter des fraudes assistées par IA générative (face swap, manipulation vidéo, clonage de voix). En un mois, plus de 2 600 VM RedVDS ont expédié en moyenne 1 million d’e‑mails de phishing par jour vers des clients Microsoft (sur les 600 millions d’attaques bloquées quotidiennement), contribuant depuis septembre 2025 à plus de 191 000 compromissions ou accès frauduleux d’organisations.

Le vecteur financier majeur est la fraude au virement (BEC): compromission de boîtes mail, surveillance des échanges, puis détournement de paiements au moment opportun. Des victimes citées incluent H2‑Pharma (perte > 7,3 M$) et Gatehouse Dock Condominium Association (~500 k$). Les escroqueries à la diversion de paiements immobiliers sont fortement représentées, impactant plus de 9 000 clients du secteur (fortement au Canada et en Australie). Les secteurs touchés vont de la construction et la fabrication à la santé, la logistique, l’éducation et le juridique. Les pays les plus affectés observés côté Microsoft sont les États‑Unis, le Canada, le Royaume‑Uni, la France et l’Inde. Microsoft estime à au moins 40 M$ les pertes de fraude signalées aux États‑Unis depuis mars 2025 (chiffre partiel et sous‑estimé).

L’action combine mesures civiles et coopération internationale: saisie de deux domaines du marketplace/portail RedVDS, collaboration avec le Parquet de Francfort (ZIT) et la police criminelle du Brandebourg, ainsi qu’Europol (EC3) pour perturber serveurs et réseaux de paiement soutenant les clients RedVDS. Cette démarche s’inscrit dans une stratégie durable de démantèlement d’infrastructures criminelles (35e action civile du DCU), en lien avec des initiatives comme la NCFTA et la Global Anti‑Scam Alliance.

TTPs observés (extraits):

  • Infrastructure as a Service criminelle (VM jetables) pour l’anonymat, la scalabilité et la rotation rapide.
  • Phishing massif, hébergement d’infrastructures de scam.
  • BEC et fraude à la diversion de paiements (immobilier en tête), exploitation du contexte et du timing des transactions.
  • Appui par IA générative (ciblage, contenus multimédia crédibles), face swap, manipulation vidéo, clonage de voix.
  • OpSec des acteurs facilitée par logiciels non licenciés et bascule rapide entre fournisseurs.

IOCs: non divulgués dans le texte (deux domaines saisis non précisés). Il s’agit d’une opération de police/annonce de disruption visant à démanteler une infrastructure de cybercriminalité et à identifier ses opérateurs.

🔗 Source originale : https://blogs.microsoft.com/on-the-issues/2026/01/14/microsoft-disrupts-cybercrime/