Microsoft a orgány činné v trestním řízení zasazují úder Lumma Stealeru

Ve významné koordinované operaci se Microsoft společně s mezinárodními orgány činnými v trestním řízení a předními bezpečnostními firmami podílel na narušení provozu jednoho z nejrozšířenějších infostealerů současnosti – Lumma Stealeru, známého také jako LummaC2. Tento malware typu malware-as-a-service (MaaS) byl hojně využíván stovkami kybernetických útočníků k získávání citlivých dat po celém světě.

Lumma Stealer: Dva roky globálního špehován

Lumma se během dvou let stal populárním nástrojem mezi kyberzločinci. Byl navržen k automatizovanému sběru údajů, jako jsou přihlašovací údaje, čísla platebních karet, přístupy do kryptopeněženek či osobní data, která následně končila v podzemních tržištích.

Podle údajů Microsoftu bylo tímto malwarem infikováno více než 394 000 zařízení se systémem Windows. Analýzy společnosti ESET navíc ukazují, že Lumma operovala na všech kontinentech a neustále se vyvíjela – od úprav šifrovacích algoritmů po změny v síťové komunikaci.

Operace narušení: 2 300 domén mimo provoz

Zásadní ránu Lumma dostala díky operaci amerických a evropských bezpečnostních složek (včetně Europolu) a partnerů jako Microsoft, ESET, BitSight a Cloudflare. V rámci zásahu bylo zabaveno 5 klíčových domén sloužících jako panely pro ovládání malwaru, zablokováno 2 300 domén využívaných Lumma operátory a přes 1 300 domén přesměrováno do Microsoftem řízených „sinkholes“, které znemožňují další komunikaci malwaru.

Tato opatření významně narušila schopnost Lumma operovat a zároveň umožní Microsoftu a partnerům lépe monitorovat hrozby a poskytovat relevantní informace dalším subjektům.

Sofistikovaná distribuce: phishing, malvertising a trojanizované aplikace

Lumma vyniká především svou adaptabilitou a metodami doručení. Na rozdíl od tradičních infostealerů využívá vícevektorové strategie – například phishing, zneužití reklamních sítí či infikované aplikace. Distribuční infrastruktura malwaru byla flexibilní a schopná rychlých změn, což útočníkům umožňovalo efektivně obcházet detekční mechanismy.

Zločinci za Lumma: Scattered Spider a další

Lumma se objevila v arzenálu několika známých kybernetických skupin, včetně Scattered Spider (Octo Tempest) a několika dalších skupin sledovaných Microsoftem pod názvy Storm-1607, Storm-1113 či Storm-1674. Hlavní vývojář Lumma je podle dostupných informací z Ruska, vystupuje pod přezdívkou Shamel a prostřednictvím Telegramu a ruských fór nabízí Lumma jako službu za 250 až 1 000 dolarů měsíčně.

Zákazníci si mohli přizpůsobit malware podle potřeby, přidat nástroje pro maskování, šíření a sledovat exfiltrovaná data pomocí online panelů.

Odolnost a budoucnost hrozby

Ačkoliv je současný zásah významný, experti upozorňují, že se útočníci pravděpodobně pokusí rychle přeskupit a obnovit infrastrukturu. Lumma má silné finanční zázemí díky MaaS modelu a její vývojáři se osvědčili jako vysoce adaptabilní.

Případ Lumma Stealer ukazuje, jak nebezpečné a rozšířené jsou moderní infostealery provozované jako služba. Zároveň však dokládá, že spolupráce mezi technologickými firmami a bezpečnostními složkami může přinést hmatatelné výsledky. Pro společnosti je to důrazné varování – zabezpečení koncových bodů a důsledné monitorování síťového provozu je klíčem k obraně proti těmto sofistikovaným hrozbám.

Zdroj: securityboulevard.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI