Заместитель помощника директора ФБР по кибероперациям Бретт Лезерман заявил в среду на пресс-конференции , что LummaC2 заразил около 10 миллионов устройств и систем, что позволило осуществить миллионы последующих атак, прежде чем операция по краже информации была пресечена в ходе скоординированной глобальной операции на этой неделе.
«С момента своего создания в 2022 году платформа вредоносного ПО как услуги LummaC2 превратилась в самое эффективное средство кражи информации, продаваемое на криминальных онлайн-рынках, и используется киберпреступниками для совершения атак против миллионов невинных жертв», — сказал Лезерман.
ФБР выявило не менее 1,7 миллиона случаев, когда LummaC2 использовался для кражи имен пользователей, паролей, расширений браузера, удаленных подключений, системной информации, криптовалютных кошельков и сид-фраз, а также информации для автозаполнения, включая сохраненные данные кредитных карт.
Число жертв, связанных с LummaC2, за последние пару лет росло экспоненциально и так быстро, что власти всё ещё изучают улики, чтобы найти и приписать этой группе похитителей информации новые атаки. По оценкам ФБР, эта вредоносная платформа способствовала краже только кредитных карт на сумму 36,5 млн долларов в 2023 году.
По данным Leatherman, LummaC2, также известный как Lumma Stealer, атаковал как частных лиц, так и компании, включая компании из списка Fortune 500. Среди известных жертв — авиакомпании, университеты, банки, страховые компании, больницы, государственные органы власти и интернет-провайдеры.
Власти и компании по кибербезопасности, которые помогали в расследовании и ликвидации основной инфраструктуры LummaC2, заявили, что вредоносное ПО для кражи информации заражало системы с помощью социальной инженерии, поддельного или обманного программного обеспечения, фишинговых писем, мошеннических ссылок и поддельных доставок CAPTCHA.
Агентство по кибербезопасности и безопасности инфраструктуры опубликовало технические подробности о том, как вредоносное ПО LummaC2 заражает системы и какие операции оно проводит для кражи данных. Вредоносное ПО позволяло киберпреступникам обходить инструменты обнаружения и реагирования на конечные точки (EDR) и антивирусные программы, предназначенные для отслеживания и оповещения пользователей о попытках фишинга или скрытых загрузках, сообщает агентство.
Исследователи из Cloudflare, одной из компаний по безопасности, которая помогала Министерству юстиции, заявили, что операторы Lumma собирали украденные учетные данные в виде журналов , которые затем индексировались для продажи на торговой площадке, где преступники могли искать и покупать потенциально прибыльные учетные данные.
Десятки компаний — ESET, Microsoft, Bitsight, Lumen, CleanDNS и GMO Registry, — которые помогли захватить и демонтировать домены Lumma, центральное командование и управление, а также торговые площадки, где вредоносное ПО продавалось другим киберпреступникам, высоко оценили далеко идущий успех операции по подрыву работы.
Тем не менее, несмотря на то, что в среду правительство США быстро арестовало три новых домена, которые администраторы LummaC2 создали накануне для размещения панели пользователей, сохраняются опасения относительно способности киберпреступной группировки перегруппироваться и продолжить свою деятельность.
«Когда мы проводим эти технические операции, они не всегда носят постоянный характер», — сказал Лезерман.
«Возможно, мы не полностью устраним угрозу. Этого пока не наблюдалось ни в одной технической операции, но любой период простоя актёров приносит облегчение пострадавшим, и именно этого мы и добиваемся», — добавил он.
Нет никаких гарантий, что операторы Lumma не восстановятся, но скоординированные усилия по подрыву ее работы будут продолжаться, чтобы помешать технической работе группы, включая ее доступ, пропускную способность и способность оказывать воздействие на большее количество жертв, сказал Лезерман.
«Это часть более масштабного расследования деятельности группировки, проводимого правоохранительными органами, и мы надеемся, что это также подорвёт доверие внутри самой экосистемы», — сказал он. «Их крах влечёт за собой финансовые потери, но есть и репутационные потери, и мы считаем, что все, кто работает в этой сфере, должны это понимать».
«С момента своего создания в 2022 году платформа вредоносного ПО как услуги LummaC2 превратилась в самое эффективное средство кражи информации, продаваемое на криминальных онлайн-рынках, и используется киберпреступниками для совершения атак против миллионов невинных жертв», — сказал Лезерман.
ФБР выявило не менее 1,7 миллиона случаев, когда LummaC2 использовался для кражи имен пользователей, паролей, расширений браузера, удаленных подключений, системной информации, криптовалютных кошельков и сид-фраз, а также информации для автозаполнения, включая сохраненные данные кредитных карт.
Число жертв, связанных с LummaC2, за последние пару лет росло экспоненциально и так быстро, что власти всё ещё изучают улики, чтобы найти и приписать этой группе похитителей информации новые атаки. По оценкам ФБР, эта вредоносная платформа способствовала краже только кредитных карт на сумму 36,5 млн долларов в 2023 году.
По данным Leatherman, LummaC2, также известный как Lumma Stealer, атаковал как частных лиц, так и компании, включая компании из списка Fortune 500. Среди известных жертв — авиакомпании, университеты, банки, страховые компании, больницы, государственные органы власти и интернет-провайдеры.
Власти и компании по кибербезопасности, которые помогали в расследовании и ликвидации основной инфраструктуры LummaC2, заявили, что вредоносное ПО для кражи информации заражало системы с помощью социальной инженерии, поддельного или обманного программного обеспечения, фишинговых писем, мошеннических ссылок и поддельных доставок CAPTCHA.
Агентство по кибербезопасности и безопасности инфраструктуры опубликовало технические подробности о том, как вредоносное ПО LummaC2 заражает системы и какие операции оно проводит для кражи данных. Вредоносное ПО позволяло киберпреступникам обходить инструменты обнаружения и реагирования на конечные точки (EDR) и антивирусные программы, предназначенные для отслеживания и оповещения пользователей о попытках фишинга или скрытых загрузках, сообщает агентство.
Исследователи из Cloudflare, одной из компаний по безопасности, которая помогала Министерству юстиции, заявили, что операторы Lumma собирали украденные учетные данные в виде журналов , которые затем индексировались для продажи на торговой площадке, где преступники могли искать и покупать потенциально прибыльные учетные данные.
Десятки компаний — ESET, Microsoft, Bitsight, Lumen, CleanDNS и GMO Registry, — которые помогли захватить и демонтировать домены Lumma, центральное командование и управление, а также торговые площадки, где вредоносное ПО продавалось другим киберпреступникам, высоко оценили далеко идущий успех операции по подрыву работы.
Тем не менее, несмотря на то, что в среду правительство США быстро арестовало три новых домена, которые администраторы LummaC2 создали накануне для размещения панели пользователей, сохраняются опасения относительно способности киберпреступной группировки перегруппироваться и продолжить свою деятельность.
«Когда мы проводим эти технические операции, они не всегда носят постоянный характер», — сказал Лезерман.
«Возможно, мы не полностью устраним угрозу. Этого пока не наблюдалось ни в одной технической операции, но любой период простоя актёров приносит облегчение пострадавшим, и именно этого мы и добиваемся», — добавил он.
Нет никаких гарантий, что операторы Lumma не восстановятся, но скоординированные усилия по подрыву ее работы будут продолжаться, чтобы помешать технической работе группы, включая ее доступ, пропускную способность и способность оказывать воздействие на большее количество жертв, сказал Лезерман.
«Это часть более масштабного расследования деятельности группировки, проводимого правоохранительными органами, и мы надеемся, что это также подорвёт доверие внутри самой экосистемы», — сказал он. «Их крах влечёт за собой финансовые потери, но есть и репутационные потери, и мы считаем, что все, кто работает в этой сфере, должны это понимать».
