Νωρίτερα αυτό το μήνα, μια συντονισμένη δράση διαταραχής που στοχεύει στο Lumma Malware-as-a-Service (MAAS), η επιχείρηση κλοπής πληροφοριών κατάσχεσε χιλιάδες τομείς και μέρος της σπονδυλικής στήλης της υποδομής παγκοσμίως.
Αυτή η προσπάθεια περιελάμβανε πολλαπλές εταιρείες τεχνολογίας και αρχές επιβολής του νόμου, με αποτέλεσμα την κατάσχεση της Microsoft περίπου 2.300 τομέων μετά από νομικές ενέργειες κατά του κακόβουλου λογισμικού στις 13 Μαΐου 2025.
Ταυτόχρονα, το Υπουργείο Δικαιοσύνης (DOJ) διέκοψε τις αγορές όπου το κακόβουλο λογισμικό ενοικιάστηκε στους εγκληματίες του κυβερνοχώρου, κατά την κατάσχεση του πίνακα ελέγχου της Lumma, ενώ το Ευρωπαϊκό Κέντρο Κυβέρνησης (EC3) και το Κέντρο Ελέγχου Κυβέρνησης της Ιαπωνίας (JC3) βοήθησε να καταλάβει την υποδομή της Lumma με έδρα την Ευρώπη και την Ιαπωνία.
“Μεταξύ 16 Μαρτίου 2025 και 16 Μαΐου 2025, η Microsoft αναγνώρισε πάνω από 394.000 υπολογιστές των Windows παγκοσμίως που μολύνθηκαν από το κακόβουλο λογισμικό Lumma. είπε ο Steven MasadaΒοηθός Γενικός Σύμβουλος της Μονάδας Ψηφιακών Εγκλημάτων της Microsoft.
“Η προσπάθεια διαταραχής του κλωστού Lumma αρνείται την πρόσβαση των χειριστών του Lumma στον πίνακα ελέγχου, την αγορά κλεμμένων δεδομένων και την υποδομή του Διαδικτύου που χρησιμοποιούνται για τη διευκόλυνση της συλλογής και της διαχείρισης αυτών των δεδομένων. Προστέθηκε Cloudflare σήμερα.
Άλλες εταιρείες που συμμετέχουν στην κοινή δράση κατά της υποδομής του Lumma περιλαμβάνουν Eset, Εκκαθάριση, Σκαμπαραγωγός, Μονάδα φωτισμού, ΓΤΟ μητρώοκαι παγκόσμια δικηγορική εταιρεία Orrick.
Η CloudFlare λέει ότι ο Lumma Stealer κακοποίησε τις υπηρεσίες τους για να αποκρύψει τις διευθύνσεις IP προέλευσης των διακομιστών που οι χρήστες απειλών για τη συλλογή κλεμμένων διαπιστευτηρίων και δεδομένων.
Ακόμη και μετά την αναστολή των τομέων που χρησιμοποιείται από τη λειτουργία, το NALWare ήταν σε θέση να παρακάμψει τη σελίδα διάμεσης προειδοποίησης της CloudFlare, προκαλώντας την εταιρεία να λάβει επιπλέον βήματα για να εμποδίσει την εξαίρεση των δεδομένων.
“Η ομάδα εμπιστοσύνης και ασφάλειας του Cloudflare επισημαίνεται επανειλημμένα τομείς που χρησιμοποιούνται από τους εγκληματίες και αναστέλλουν τους λογαριασμούς τους”, εξηγεί μια έκθεση CloudFlare.
“Τον Φεβρουάριο του 2025, το κακόβουλο λογισμικό της Lumma παρατηρήθηκε παρακάμπτοντας τη διάμεση σελίδα προειδοποίησης του Cloudflare, η οποία είναι ένα αντίμετο που χρησιμοποιεί η Cloudflare για να διαταράξει τους κακόβουλους ηθοποιούς”.
“Σε απάντηση, η Cloudflare πρόσθεσε την υπηρεσία Turnstile στη σελίδα ενδιάμεσης προειδοποίησης, οπότε το κακόβουλο λογισμικό δεν θα μπορούσε να το παρακάμψει”.
Τι είναι το κακόβουλο λογισμικό Lumma;
Το Lumma (επίσης γνωστό ως Lummac2) είναι ένα MALWare-as-a-Service Information Stealer που στοχεύει τα Windows και τα συστήματα MACOS που μπορούν να νοικιάσουν οι κυβερνοεπικοινωνίες για συνδρομή μεταξύ $ 250 και $ 1.000.
Το κακόβουλο λογισμικό διαθέτει προχωρημένες δυνατότητες αποφυγής και κλοπής δεδομένων και διανέμεται συνήθως μέσω διαφόρων καναλιών, συμπεριλαμβανομένων των σχολίων Github, των τόπων γεννήτριας γυμνού Deepfake και της κακομεταχείρισης σε μολυσματικά θύματα.
Μετά από να διακυβεύσει ένα σύστημα, το Lumma μπορεί να κλέψει δεδομένα από προγράμματα περιήγησης και εφαρμογές του Web, συμπεριλαμβανομένων των πορτοφολιών κρυπτογράφησης και των μπισκότων, των διαπιστευτηρίων, των κωδικών πρόσβασης, των πιστωτικών καρτών και του ιστορικού περιήγησης από το Google Chrome, το Microsoft Edge, το Mozilla Firefox και άλλα προγράμματα περιήγησης Chromium.
Αυτά τα κλεμμένα δεδομένα συλλέγονται στη συνέχεια σε ένα αρχείο και αποστέλλονται πίσω σε διακομιστές που ελέγχουν τον εισβολέα, οι οποίοι θα πουλήσουν τις πληροφορίες σχετικά με τις αγορές εγκλημάτων στον κυβερνοχώρο ή θα τα χρησιμοποιήσουν σε άλλες επιθέσεις.
Το Infostealer έγινε για πρώτη φορά διαθέσιμο για αγορά σε φόρουμ εγκληματικότητας στον κυβερνοχώρο για πρώτη φορά τον Δεκέμβριο του 2022 και η Kela ανέφερε ότι έγινε δημοφιλής στους κυβερνοεγκαταστάσεις μόλις λίγους μήνες αργότερα.
Ως IBM X-Force 2025 Απειλής Intel Report σημειώσειςσημειώθηκε αύξηση κατά 12% των διαπιστευτηρίων Infostealer προς πώληση στο Dark Web κατά το τελευταίο έτος, μετά από μια τεράστια αύξηση κατά 84% των infostealers που παραδόθηκαν μέσω του phishing, με το Lumma να είναι το πιο διαδεδομένο από ένα μεγάλο περιθώριο.
Το Lumma έχει χρησιμοποιηθεί σε τεράστιες εκστρατείες για κακομεταχείριση που έχουν επηρεάσει εκατοντάδες χιλιάδες υπολογιστές και από πολλές περιβόητες ομάδες απειλών και ηθοποιούς, συμπεριλαμβανομένης της διάσπαρτης συλλογικής αράχνας του Cybercrime Collective.
Πιο πρόσφατα, τα δεδομένα που κλέβονται με τη χρήση κακόβουλου λογισμικού που βρίσκονται σε πληροφορίες, ήταν πίσω από παραβιάσεις υψηλής επίπτωσης στο Powerschool, Hottopic, Circleci και Snowflake.
Εκτός από τη χρήση των εταιρικών δικτύων, τα διαπιστευτήρια που κλέβονται από το κακόβουλο λογισμικό infostealer έχουν επίσης χρησιμοποιηθεί για να προκαλέσουν χάος με τη διεφθαρμένη πληροφορία δρομολόγησης δικτύου, όπως φαίνεται από τους ηθοποιούς απειλής που διαθέτουν την πορτοκαλί ισπανική ώριμη λογαριασμό για να παραπλανήσουν τη δρομολόγηση BGP και τις διαμορφώσεις RPKI.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
