Em 14 de janeiro de 2026, a Microsoft, junto a autoridades dos EUA, Reino Unido e Alemanha, tirou do ar o serviço RedVDS, uma plataforma de cibercrime-as-a-service que oferecia desktops virtuais prontos para phishing e BEC por US$ 24/mês.
Desde setembro de 2025 a RedVDS comprometeu 191 mil organizações, disparou mais de 1 milhão de e-mails de phishing por dia e provocou perdas de US$ 40 milhões apenas nos EUA — incluindo US$ 7,3 milhões da H2-Pharma.
Como funciona: criminosos alugavam máquinas virtuais (VMs) com a infraestrutura completa de e-mail, deepfakes de executivos e ferramentas de spoofing; bastava apontar listas de vítimas e o painel orquestrava campanhas em segundos.
Serviço criminoso vendia sofisticação sob assinatura
RedVDS hospedava 2.600 VMs, cada uma equipada com browsers, contas de e-mail e softwares de voz sintética. O acabamento por US$ 24 incluía relatórios de sucesso e comandos de reversão para novas campanhas.
O modelo permitia que atacantes com pouca habilidade técnica atacassem empresas grandes usando mensagens realistas e conselhos dos operadores de RedVDS.
Respostas globais sincronizam investigação e derruba infra
Microsoft usou inteligência de threat hunting e regras de DMARC/SPF para traçar os infra-estruturas de pagamento e derrubar servidores em cada jurisdição.
Operação envolveu ~30 prisões e apreensão de domínios que hospedavam o painel de controle e os arquivos maliciosos.
Execução aérea amplia confiança no modelo público-privado
O NCA britânico e o FBI usaram fontes no mercado de CaaS e exchanges de cripto para identificar os operadores por trás da infraestrutura.
A ação reforça a estratégia da Microsoft de unificar detecção, resposta e recuperação para defender clientes corporativos.
O que isso significa
Para CISOs: modelos CaaS proliferam — defenda-se com autenticação forte, segmentação de rede e treino de resposta a phishing.
Para empresas: a combinação IA generativa + phishing de alta fidelidade exige monitoramento em tempo real de e-mails e fluxos de caixa.
O que observar: relatórios da Microsoft sobre CaaS derrubados, atualizações de regras de e-mail e notificações do ENISA sobre campanhas similares.
Em resumo: o takedown de RedVDS mostra que crime virtual agora opera como SaaS; defesa exige parceria com provedores globais e medidas técnicas rígidas.