Nền tảng RedVDS giúp gửi 1 triệu email lừa đảo/ngày bị đánh sập như thế nào?

Chiến dịch đánh sập RedVDS do Microsoft, Europol (Cơ quan Cảnh sát châu Âu) cùng cơ quan thực thi pháp luật tại Mỹ, Vương quốc Anh và Đức phối hợp thực hiện, đã giáng một đòn mạnh vào cơ sở hạ tầng phục vụ lừa đảo quy mô lớn, song cũng làm dấy lên cảnh báo về mức độ lan rộng và nguy hiểm của Cybercrime-as-a-Service (CaaS).

CaaS là mô hình kinh doanh tội phạm mạng, trong đó các công cụ, hạ tầng và dịch vụ phục vụ hành vi phạm pháp trên không gian mạng được đóng gói, cho thuê hoặc bán như một dịch vụ, tương tự cách các doanh nghiệp hợp pháp cung cấp SaaS (Software-as-a-Service hay phần mềm cung cấp dưới dạng dịch vụ). Nói cách khác, thay vì phải có kỹ năng kỹ thuật cao để tấn công mạng, bất kỳ ai cũng có thể “mua” năng lực của tội phạm mạng.

1. RedVDS là gì?

RedVDS được phát triển từ khoảng năm 2019 và dần trở thành một dịch vụ hạ tầng chủ chốt cho hoạt động tội phạm mạng trên toàn cầu. Về bản chất, RedVDS là nền tảng cho thuê máy chủ ảo Windows với quyền truy cập quản trị đầy đủ, cho phép bất kỳ ai trả phí đều có thể sử dụng những máy chủ này cho mục đích riêng.

Điều đáng chú ý là RedVDS hoạt động tương tự các nền tảng đám mây hợp pháp, nhưng hướng đến đối tượng là tội phạm mạng:

- Người dùng trả phí bằng tiền mã hóa như Bitcoin, Litecoin, Monero hoặc TRON, thường là khoảng 24 USD/tháng cho mỗi máy chủ ảo.

- RedVDS cung cấp máy chủ ảo chạy bản sao Windows Server 2022 (Windows Server 2022 clone), chia sẻ cùng một hình ảnh hệ thống và cùng một tên máy tính. Đây chính là dấu vết kỹ thuật quan trọng mà các chuyên gia bảo mật dùng để theo dõi hoạt động của RedVDS.

Màn hình máy tính truy cập từ xa

- Người dùng có quyền truy cập quản trị đầy đủ, không bị giới hạn bởi bất kỳ chính sách quản lý hay kiểm soát an ninh nào từ phía nhà cung cấp, khiến đây trở thành môi trường lý tưởng cho các chương trình lừa đảo và mã độc.

Điểm khác biệt lớn của RedVDS so với các dịch vụ hạ tầng khác là không đặt ra bất kỳ kiểm tra hợp pháp nào với người thuê, biến nó thành “chợ đen công nghệ” phục vụ toàn bộ chu trình cho tội phạm mạng, từ khâu chuẩn bị đến thực hiện chiến dịch.

2. Cách thức hoạt động của RedVDS

Để hiểu rõ nền tảng này hoạt động như thế nào, cần phân tích kỹ từng bước trong chuỗi tấn công mà RedVDS hỗ trợ:

Cung cấp hạ tầng ẩn danh

RedVDS không sở hữu các trung tâm dữ liệu riêng mà thuê máy chủ vật lý từ nhiều nhà cung cấp trên thế giới, gồm cả Mỹ, Canada, Vương quốc Anh, Pháp, Đức và Hà Lan.

Sau đó, dịch vụ dùng công nghệ như QEMU và VirtIO để nhân bản máy ảo Windows Server chỉ trong vài phút và cấp cho khách hàng thông qua giao thức Remote Desktop Protocol (RDP) bằng quyền quản trị.

Các máy ảo này thường được trang bị thư viện phần mềm hỗ trợ tội phạm mạng:

- Công cụ gửi thư hàng loạt để thực hiện các chiến dịch phishing. Phishing là hình thức lừa đảo trực tuyến, trong đó kẻ xấu giả mạo các tổ chức, dịch vụ hoặc cá nhân đáng tin cậy, ngân hàng hay hãng công nghệ để dụ người dùng cung cấp thông tin nhạy cảm như mật khẩu, mã xác thực, số thẻ hoặc dữ liệu cá nhân.

- Phần mềm thu thập địa chỉ email và dữ liệu mục tiêu.

- Trình duyệt bảo mật và VPN (mạng riêng ảo) để che giấu dấu vết hoạt động.

- Công cụ truy cập từ xa như AnyDesk để chia sẻ quyền truy cập giữa những kẻ tấn công.

Việc sử dụng Windows Server không có giấy phép và quyền admin hoàn chỉnh giúp các đối tượng thực hiện hành vi tội phạm mà khó bị kiểm soát bởi các hệ thống an ninh truyền thống.

Triển khai chiến dịch lừa đảo

Sau khi có máy chủ ảo, kẻ xấu thường thực hiện theo trình tự:

- Thu thập và thăm dò mục tiêu: Liên tục quét và xác định các tổ chức có tiềm năng bị tấn công.

- Chuẩn bị hạ tầng lừa đảo: Thiết lập các dịch vụ, email gửi thư hàng loạt, trang web giả mạo, công cụ thu thập dữ liệu.

- Tấn công phishing và BEC (Business Email Compromise): Gửi các email lừa đảo, xác thực thông tin đăng nhập và chiếm quyền truy cập.

- Thực hiện gian lận: Sử dụng tài khoản bị xâm nhập để gửi email nội bộ, thay đổi thông tin thanh toán, thực hiện lệnh chuyển tiền trái phép.

Một yếu tố mới là việc tích hợp công nghệ trí tuệ nhân tạo (AI) trong các chiến dịch lừa đảo. Các công cụ AI tạo sinh được sử dụng để soạn nội dung email giả mạo thuyết phục, tạo deepfake âm thanh và video để tăng mức độ tin cậy với nạn nhân.

3. Quy mô và tác động của RedVDS trước khi bị đánh sập

RedVDS không phải một dịch vụ hạ tầng nhỏ lẻ hay hoạt động rời rạc. Trước khi bị vô hiệu hóa bởi một chiến dịch phối hợp giữa Microsoft, Europol, Mỹ, Vương quốc Anh và Đức, RedVDS đã trở thành một trong những nền tảng chủ chốt trong hệ sinh thái lừa đảo và gian lận trực tuyến toàn cầu.

Theo thống kê từ Microsoft và các hãng an ninh mạng, chỉ trong một tháng trước khi RedVDS bị đánh sập, hơn 2.600 máy chủ ảo thuộc hạ tầng dịch vụ này đã được sử dụng để gửi trung bình khoảng 1 triệu email lừa đảo mỗi ngày, chủ yếu nhắm vào người dùng và doanh nghiệp sử dụng các dịch vụ của Microsoft. Tính trên quy mô toàn cầu, lượng thư lừa đảo phát tán từ RedVDS lên tới hàng chục triệu email mỗi tháng, vượt xa khả năng phát hiện và ngăn chặn của nhiều hệ thống bảo mật truyền thống.

Không chỉ gây ra làn sóng thư rác khổng lồ, RedVDS còn ảnh hưởng trực tiếp đến hàng trăm nghìn tổ chức trên khắp thế giới. Microsoft cho biết, từ tháng 9.2025 đến thời điểm RedVDS bị triệt phá, các chiến dịch tấn công có liên quan đến hạ tầng dịch vụ này dẫn đến việc xâm nhập hoặc truy cập trái phép hơn 191.000 tổ chức, trải rộng trên hơn 130.000 tên miền khác nhau.

Các nạn nhân không tập trung ở một lĩnh vực cụ thể mà phân bố trên nhiều ngành nghề, từ pháp lý, xây dựng, y tế, bất động sản, giáo dục cho đến sản xuất công nghiệp. Điều này cho thấy RedVDS không nhắm vào một nhóm mục tiêu hẹp, mà cung cấp hạ tầng để tội phạm mạng tấn công một cách đại trà, tùy theo cơ hội.

Do nhiều tổ chức không công khai hoặc không phát hiện đầy đủ thiệt hại, con số nạn nhân thực tế còn cao hơn đáng kể so với số liệu đã được báo cáo.

Mật độ toàn cầu các tài khoản email Microsoft bị xâm nhập thông qua hạ tầng RedVDS trong giai đoạn từ tháng 9.2025 đến tháng 12.2025. Mỹ, Canada, Vương quốc Anh, Pháp và Ấn Độ bị ảnh hưởng nhiều nhất

Về thiệt hại tài chính, các con số được công bố mới chỉ phản ánh phần nổi của tảng băng. Riêng tại Mỹ, Microsoft ước tính các vụ lừa đảo và chiếm quyền tài khoản có liên quan đến RedVDS đã gây thiệt hại ít nhất 40 triệu USD kể từ tháng 3.2025.

Vài vụ việc điển hình cho thấy mức độ nghiêm trọng của vấn đề:

- Một công ty dược phẩm tại Mỹ đã mất hơn 7,3 triệu USD trong vụ lừa đảo qua email doanh nghiệp, khi kẻ gian lợi dụng email nội bộ để yêu cầu chuyển tiền.

- Tại bang Florida (Mỹ), một hiệp hội quản lý khu căn hộ bị lừa gần 500.000 USD từ quỹ của cư dân.

- Ở Canada và Úc, hơn 9.000 khách hàng trong lĩnh vực bất động sản đã bị chiếm đoạt tiền thanh toán thông qua các thủ đoạn gian lận tương tự, được cho có sử dụng hạ tầng RedVDS.

Ngoài thiệt hại trực tiếp về tiền bạc, các tổ chức bị ảnh hưởng còn phải đối mặt với tổn thất uy tín, chi phí khắc phục sự cố an ninh, gián đoạn hoạt động, nguy cơ mất niềm tin từ khách hàng và đối tác. Những hệ lụy này khiến tác động thực sự của RedVDS với nền kinh tế số toàn cầu lớn hơn rất nhiều so với các con số thống kê ban đầu.

4. Quá trình điều tra và triệt phá RedVDS

Việc lần ra và triệt phá RedVDS không diễn ra trong một sớm một chiều, mà là kết quả của quá trình theo dõi và phân tích kỹ thuật kéo dài của các chuyên gia an ninh mạng. Một trong những manh mối quan trọng nhất giúp bóc tách toàn bộ mạng lưới này xuất phát từ đặc điểm kỹ thuật bất thường của hệ thống máy chủ mà RedVDS sử dụng.

Theo các cơ quan chức năng, hàng nghìn máy chủ ảo phục vụ cho hoạt động lừa đảo đều được tạo ra từ cùng một bản sao Windows Server 2022, với cấu hình và tên máy gần như giống hệt nhau. Chính sự trùng lặp này đã tạo ra “dấu vết số” rõ ràng, cho phép các nhà phân tích liên kết nhiều chiến dịch lừa đảo tưởng như rời rạc thành một hạ tầng chung duy nhất đứng phía sau.

Microsoft cho biết đã theo dõi nhóm đứng sau RedVDS trong thời gian dài và tạm thời đặt cho chúng bí danh Storm-2470. Danh tính thực sự của những kẻ vận hành nền tảng này hiện chưa được công bố, song các hoạt động của chúng là có tính tổ chức cao và trên phạm vi nhiều quốc gia.

Trên cơ sở các bằng chứng kỹ thuật và pháp lý thu thập được, Microsoft đã phối hợp với Europol cùng các cơ quan thực thi pháp luật tại Mỹ, Vương quốc Anh, Đức để triển khai chiến dịch chung. Kết quả là nhiều tên miền và máy chủ cốt lõi của RedVDS đã bị cơ quan chức năng thu giữ, khiến nền tảng này không còn khả năng hoạt động. Toàn bộ website dịch vụ, hệ thống quản lý người dùng và khu vực giao dịch của RedVDS đều bị ngắt kết nối, qua đó chấm dứt việc cung cấp hạ tầng kỹ thuật cho các hoạt động lừa đảo trực tuyến.

Tuy nhiên, việc đánh sập hạ tầng chỉ là bước đầu. Các cơ quan chức năng hiện vẫn tiếp tục truy vết dòng tiền, hệ thống thanh toán và những kẻ trực tiếp vận hành RedVDS, nhằm phục vụ công tác điều tra, truy tố và ngăn chặn nguy cơ các hoạt động tương tự tái xuất dưới hình thức khác.

Đây được xem là nỗ lực dài hạn nhằm làm suy yếu tận gốc mô hình tội phạm mạng hoạt động như một dịch vụ.

5. Bài học và cảnh báo

Dù RedVDS bị đánh sập, các chuyên gia an ninh cảnh báo rằng mô hình CaaS rất có thể phát sinh các nền tảng thay thế khác. Tội phạm mạng có xu hướng nhanh chóng thích nghi, tận dụng các công nghệ mới để che giấu dấu vết và tăng tính hiệu quả.

Việc kết hợp AI trong việc tạo nội dung lừa đảo, tạo ảnh/video giả mạo đã nâng mức độ nguy hiểm của chiến dịch phishing lên một tầm cao mới. Điều này không chỉ làm tăng khả năng vượt qua các bộ lọc bảo mật mà còn khiến người dùng khó nhận biết sự gian dối.

RedVDS là minh chứng rõ rệt cho cách mà tội phạm mạng đã biến hạ tầng công nghệ thành sản phẩm dịch vụ đầy rẫy rủi ro. Từ một nền tảng cho thuê máy ảo Windows không được kiểm soát, RedVDS đã trở thành “xưởng sản xuất phishing” quy mô lớn, ảnh hưởng tới hàng trăm nghìn tổ chức và gây thiệt hại hàng chục triệu USD trên toàn cầu trước khi bị đánh sập.

Vụ việc này không chỉ là tiếng chuông cảnh tỉnh thế giới số, mà còn là lời nhắc nhở rằng sự hợp tác công-tư, nỗ lực nâng cao nhận thức và đầu tư vào an ninh mạng là yếu tố quyết định để đối phó với các mối đe dọa ngày càng tinh vi.

Sơn Vân