Microsoft, правоприлагащи органи и водещи технологични компании с координирана атака срещу киберпрестъпна мрежа

Мащабна международна операция, координирана между технологични гиганти и правоприлагащи органи, доведе до разгрома на инфраструктурата на Lumma Stealer — популярен зловреден софтуер, предлаган по модела malware-as-a-service (MaaS). На 13 май 2025 г. Microsoft иззе над 2300 домейна, използвани от операторите на Lumma, след съдебна намеса, целяща прекратяване на киберпрестъпната дейност.

Същевременно Министерството на правосъдието на САЩ (DOJ) прекрати работата на пазарите, в които зловредният инструмент се отдаваше под наем, като иззе контролния панел на Lumma. Европол чрез Центъра за киберпрестъпления (EC3) и Японският център за борба с киберпрестъпността (JC3) също участваха, като атакуваха инфраструктурата на Lumma, разположена в Европа и Япония.

Над 394 000 заразени компютри за два месеца

По данни на Microsoft Digital Crimes Unit, между 16 март и 16 май 2025 г., компанията е установила над 394 000 Windows устройства, заразени със зловредния софтуер Lumma. Според Стивън Маса̀да, главен юрисконсулт в Microsoft:

„Съвместно с правоприлагащи органи и индустриални партньори, прекъснахме връзките между зловредния инструмент и жертвите, блокирайки канала за източване на чувствителни данни.“

Kарта на инфекциите в Lumma (Microsoft)

Cloudflare, ESET, CleanDNS, GMO и други в координираната операция

Cloudflare потвърди, че Lumma Stealer е злоупотребявал с услугите им, за да скрива IP адресите на сървъри, събиращи откраднати данни. Дори след блокиране на домейните, зловредният код успял да заобиколи предпазните екрани на Cloudflare, което наложило въвеждането на допълнителни мерки за предотвратяване на изтичане на информация, включително внедряване на услугата Turnstile, която прави невъзможен автоматичния достъп от малуера.

Компании като ESET, CleanDNS, Bitsight, Lumen, GMO Registry и международната кантора Orrick също се включиха в техническата и правната част на акцията.

Какво представлява Lumma Stealer?

Lumma (или LummaC2) е зловреден софтуер, предлаган под наем на престъпници за суми между $250 и $1000 месечно. Работи както на Windows, така и на macOS, и е снабден с усъвършенствани механизми за укриване и кражба на данни. Разпространява се чрез фишинг имейли, коментари в GitHub, сайтове с фалшиви „deepfake“ генератори и реклами с вградени зловредни скриптове (malvertising).

След инфектиране на системата, Lumma извлича:

• Запазени пароли и идентификационни данни

• Данни от браузъри като Chrome, Edge, Firefox и др.

• Криптовалутни портфейли

• Куки, история на браузване, кредитни карти

Откраднатата информация се архивира и изпраща до сървъри, контролирани от атакуващите, които впоследствие я продават в даркнета или използват за последващи атаки.

Lumma се появява на киберпрестъпните форуми за първи път през декември 2022 г., като само няколко месеца по-късно се превръща в един от най-популярните инфостийлъри според данни от KELA.

Пряко участие в мащабни пробиви и атаки

По данни от IBM X-Force Threat Intelligence 2025, за последната година има 12% ръст на предлаганите в даркнета крадени идентификационни данни, като 84% от тях са добити чрез инфостийлъри, водещ сред които е Lumma.

Lumma е използван в масови кампании от групи като Scattered Spider, както и в атаки срещу:

• PowerSchool

• HotTopic

• CircleCI

• Snowflake

Наред с пробиви в корпоративни системи, откраднатите от Lumma идентификационни данни са използвани и за саботажи в интернет инфраструктурата, включително пренасочване на BGP маршрути, както се случи при атака срещу Orange Spain.

ФБР и CISA публикуват техническа информация и индикатори за компрометиране

Днес ФБР и Агенцията за киберсигурност и защита на инфраструктурата на САЩ (CISA) публикуваха съвместен бюлетин с тактики, техники и индикатори за компрометиране (IOCs), свързани с кампаниите с Lumma. Това цели подпомагане на организации по света в откриването и премахването на инфектирани системи.