Microsoft’tan Küresel Siber Suç Altyapısına Darbe

Microsoft, Çarşamba günü yaptığı açıklamada, RedVDS adlı ve milyonlarca dolarlık dolandırıcılık faaliyetlerini desteklediği iddia edilen bir siber suç abonelik hizmetine karşı ABD ve Birleşik Krallık’ta koordineli bir hukuki operasyon yürütüldüğünü duyurdu. Şirket, kolluk kuvvetleriyle iş birliği içinde gerçekleştirilen bu adımın, RedVDS’ye ait kötü amaçlı altyapının ele geçirilmesini ve redvds[.]com alan adının çevrimdışı bırakılmasını sağladığını açıkladı.

Microsoft Dijital Suçlar Birimi’nden Steven Masada’ya göre RedVDS, aylık yalnızca 24 ABD doları karşılığında siber suçlulara tek kullanımlık sanal bilgisayarlar sunarak dolandırıcılığı ucuz, ölçeklenebilir ve izlenmesi zor hale getirdi. Microsoft’un verilerine göre Mart 2025’ten bu yana RedVDS destekli faaliyetler, yalnızca ABD’de yaklaşık 40 milyon dolarlık bildirilen dolandırıcılık kaybına yol açtı.

RedVDS Nasıl Çalışıyordu?

Microsoft’a göre RedVDS, lisanssız Windows sürümleri de dahil olmak üzere düşük maliyetli ve tek kullanımlık sanal makineler sunan bir abonelik hizmeti olarak pazarlandı. Bu altyapı;

• Yüksek hacimli kimlik avı e-postaları gönderme
• Dolandırıcılık altyapısı barındırma
• İş e-postası ele geçirme (BEC) saldırıları
• Hesap ele geçirme ve finansal dolandırıcılık

gibi faaliyetleri anonim biçimde yürütmeye imkân tanıdı. Hizmet, Kanada’dan Singapur’a kadar birçok ülkede sunucu sağladı ve bayi panelleri üzerinden alt kullanıcı oluşturulmasına olanak verdi.

RedVDS’yi özellikle cazip kılan unsurlardan biri, herhangi bir etkinlik kaydı (log) tutmaması oldu. Ayrıca kullanıcılar, sunucularını doğrudan Telegram botu üzerinden yönetebiliyordu. Internet Archive kayıtlarına göre hizmet, “evden verimli ve konforlu çalışma” söylemiyle meşrulaştırılmaya çalışıldı. Hizmetin kökeninin 2017’ye dayandığı, 2019’da ise web sitesi üzerinden aktif olarak sunulmaya başlandığı belirtildi.

Üretken Yapay Zekâ ile Güçlenen Dolandırıcılık

Microsoft, RedVDS altyapısının sıklıkla üretken yapay zekâ araçlarıyla birlikte kullanıldığını vurguladı. Saldırganlar;

• Gerçekçi kimlik avı mesajları
• Meşru yazışmaları taklit eden e-posta zincirleri
• Yüz değiştirme, ses klonlama ve video manipülasyonu

gibi tekniklerle dolandırıcılık faaliyetlerinin ikna ediciliğini ciddi ölçüde artırdı.

Lisans İhlalleri ve Ölçeklenebilir Altyapı

Microsoft, RedVDS altyapısında kullanılan Windows sanal makinelerinin aynı temel Windows Server 2022 imajından kopyalandığını ve tek bir bilgisayar kimliği (WIN-BUNS25TD77J) kullandığını tespit etti. Storm-2470’in çalıntı veya yetkisiz lisanslar kullanarak maliyetleri düşürdüğü ve QEMU tabanlı otomasyonla dakikalar içinde yeni RDP sunucuları oluşturabildiği belirtildi.

Microsoft: “Siber Suçlular İçin İdeal Bir Ortam Sağladı”

Microsoft’a göre RedVDS, tehdit aktörlerine araştırmadan kimlik hırsızlığına ve finansal dolandırıcılığa kadar saldırının tüm aşamalarını düşük maliyet ve minimum sürtünmeyle yürütme imkânı sundu. Şirket, bu nedenle RedVDS’ye yönelik müdahalenin küresel siber suç ekosistemi açısından kritik bir eşik olduğunu vurguladı.

Daha fazla siber güvenlik haberi ve güncel gelişmeler için SiberHavadis’i takipte kalın!