Європейський центр Європолу з боротьби з кіберзлочинністю спільно з корпорацією Microsoft припинив діяльність Lumma Stealer («Lumma») — найбільшої у світі загрози викрадення інформації. Розповідаємо подробиці.
Європейський центр Європолу з боротьби з кіберзлочинністю спільно з корпорацією Microsoft припинив діяльність Lumma Stealer («Lumma») — найбільшої у світі загрози викрадення інформації. Розповідаємо подробиці.
Ця спільна операція була спрямована проти складної екосистеми, яка дозволяла злочинцям масово використовувати викрадену інформацію.
У період з 16 березня по 16 травня 2025 року корпорація Майкрософт виявила понад 394 000 комп’ютерів з операційною системою Windows у всьому світі, інфікованих шкідливим програмним забезпеченням Lumma.
Цього тижня в рамках скоординованої подальшої операції підрозділ Microsoft з боротьби з цифровими злочинами (DCU), Європол, правоохоронні органи Європи і Японії, а також компанії ESET, Bitsight, Lumen, Cloudflare, CleanDNS та GMO Registry зламали технічну інфраструктуру Lumma, перервавши зв’язок між шкідливим інструментом і жертвами. Крім того, понад 1 300 доменів, вилучених або переданих Microsoft будуть перенаправлені на спецсервери Microsoft, які дозволяють безпечно перехоплювати запити від інфікованих систем, отримувати технічну інформацію про атаки та ідентифікувати типи викрадених даних.
Microsoft застерігає, що Lumma можуть перезапустити під новою назвою, або його місце займе інший інфостілер.
Lumma, найбільший у світі викрадач інформації, був складним інструментом, який дозволяв кіберзлочинцям масово збирати конфіденційні дані зі зламаних пристроїв. Викрадені облікові дані, фінансові дані та особиста інформація збиралися і продавалися через спеціальний ринок, що зробило Lumma центральним інструментом для крадіжки персональних даних і шахрайства у всьому світі.
Маркетплейс Lumma працював як центр купівлі-продажу шкідливого програмного забезпечення, надаючи злочинцям зручний доступ до розширених можливостей викрадення даних. Його широке використання та доступність зробили його кращим вибором для кіберзлочинців, які прагнуть скористатися особистими та фінансовими даними.
Розробник Lumma — росіянин під псевдонімом Shamel. У листопаді 2023 року в інтерв’ю досліднику «g0njxa» Shamel повідомляв, що мав близько 400 активних клієнтів. Він створив цілий бренд Lumma, з логотипом у вигляді птаха, який символізує «мир і легкість», і гаслом: «З нами заробляти легко».
Як повідомив Стівен Масада, заступник генерального юрисконсульта Підрозділу цифрових злочинів Microsoft, Lumma був типовим прикладом Malware-as-a-Service. З 2022 року його продавали через підпільні російськомовні форуми, а також через Telegram. Покупці могли налаштовувати власні версії: змінювати конфіг, шифрувати код, відстежувати зібрані дані через зручну адмінку. Lumma маскувався під легітимні сервіси, зокрема, Booking.com, і поширювався через фішингові листи та рекламу з вбудованим шкідливим кодом.
Дослідники Cato Networks заявили в опублікованому в середу звіті, що Lumma відіграла певну роль у лютневій кампанії, яка використовувала сервіси зберігання об'єктів Tigris і Oracle для розміщення шкідливих вебсайтів.
«Зловмисники люблять інфокрадіїв, тому що вони дозволяють їм атакувати менш захищені персональні пристрої, на яких зберігаються корпоративні облікові дані й токени, — сказав Крістофер Руссо, головний дослідник загроз з підрозділу 42 компанії Palo Alto Networks. «Посередництво в отриманні первинного доступу — це великий бізнес, який дозволяє зловмисникам збирати облікові дані в широких масштабах з мінімальним ризиком».
Lumma також пов’язують із сумнозвісним кіберзлочинним угрупуванням Scattered Spider.
