Lumma Stealer, широко используемое вредоносное ПО для кражи информации, связанное с волнами киберпреступности и многочисленными громкими атаками, было обезврежено в ходе скоординированной глобальной операции, направленной на захват его основной инфраструктуры.
Стивен Масада, помощник главного юрисконсульта отдела по борьбе с цифровыми преступлениями компании Microsoft, сообщил в своем блоге , что центральное командование похитителя информации, вредоносные домены и торговые площадки, на которых этот инструмент продавался другим киберпреступникам, были арестованы или приостановлены.
По словам Масада, действуя на основании постановления суда, вынесенного Окружным судом США по Северному округу Джорджии, компания Microsoft конфисковала и заблокировала около 2300 вредоносных доменов, которые служили основой инфраструктуры Lumma Stealer.
По данным Microsoft, Министерство юстиции отвечало за блокировку центральной командной инфраструктуры Lumma Stealer и нарушение работы торговых площадок, на которых он продавался, в то время как Европейский центр по борьбе с киберпреступностью Европола и Японский центр по контролю за киберпреступностью работали над приостановлением работы локальной инфраструктуры.
С момента своего первого появления в 2022 году Lumma Stealer завоевал широкое распространение в глобальных сетях. Этот инфостилер, постоянно совершенствуемый разработчиками, использовался для кражи учётных данных и другой конфиденциальной информации посредством фишинга и других методов.
Этот информационный хакер был одной из немногих организаций, предлагающих вредоносное ПО как услугу и связанных с кражей данных и вымогательством у клиентов Snowflake в прошлом году. В скомпрометированных учётных записях не была включена многофакторная аутентификация.
Lumma также использовалась в атаках на игровые сообщества, системы образования и критически важные инфраструктурные организации в секторах производства, телекоммуникаций, логистики, финансов и здравоохранения.
Компания Microsoft заявила, что за два месяца, закончившихся на прошлой неделе, она выявила более 394 000 компьютеров Windows по всему миру, заражённых Lumma. Исследователи Flashpoint сообщили, что в прошлом году Lumma Stealer заразил 1,8 миллиона хостов и устройств .
В опубликованном в марте отчете Flashpoint говорится, что в прошлом году с помощью инфокрадов было украдено 2,1 млрд учетных данных, что составило почти две трети из 3,2 млрд учетных данных, украденных у всех организаций.
Microsoft описала Lumma как вредоносную программу, которую легко распространять, сложно обнаружить и которая способна обходить некоторые средства защиты. Масада отметил, что этот инфокрад — «инструмент, которым пользуются киберпреступники и злоумышленники, занимающиеся интернет-угрозами, включая таких известных злоумышленников, как Octo Tempest», также известный как Scattered Spider.
«В сотрудничестве с правоохранительными органами и отраслевыми партнёрами мы прервали связь между вредоносным инструментом и жертвами», — сказал Масада. «Эти совместные действия направлены на то, чтобы замедлить скорость атак этих злоумышленников, минимизировать эффективность их кампаний и помешать им получать незаконную прибыль, перекрыв основной источник дохода».
Помощь в ликвидации оказали компании по кибербезопасности и технологиям ESET, Bitsight, Lumen, Cloudflare, CleanDNS и GMO Registry.
По данным Microsoft, основной разработчик Lumma, «Шамель», базируется в России и предлагает различные уровни обслуживания в Telegram и других русскоязычных форумах, что позволяет киберпреступникам создавать собственные версии вредоносного ПО.
Хотя усилия по пресечению деятельности, особенно столь масштабные, существенно затрудняют деятельность киберпреступников, они не сдаются просто так.
«Как и предполагалось, наши следователи уже зафиксировали попытку злоумышленника восстановить свою инфраструктуру», — сообщил представитель Microsoft порталу CyberScoop.
«Однако благодаря решению суда и тесному сотрудничеству с партнёрами мы можем немедленно демонтировать новую инфраструктуру по мере её создания. Наша цель — максимально усложнить процесс восстановления для Lumma, в конечном итоге вынудив их полностью прекратить работы», — добавил представитель.
Масада добавил, что «перекрывая доступ к механизмам, используемым киберпреступниками, таким как Lumma, мы можем одним действием значительно помешать деятельности бесчисленного множества злоумышленников. Мы знаем, что киберпреступники настойчивы и изобретательны. Нам тоже необходимо развиваться, чтобы находить новые способы пресечения вредоносной деятельности».
Стивен Масада, помощник главного юрисконсульта отдела по борьбе с цифровыми преступлениями компании Microsoft, сообщил в своем блоге , что центральное командование похитителя информации, вредоносные домены и торговые площадки, на которых этот инструмент продавался другим киберпреступникам, были арестованы или приостановлены.
По словам Масада, действуя на основании постановления суда, вынесенного Окружным судом США по Северному округу Джорджии, компания Microsoft конфисковала и заблокировала около 2300 вредоносных доменов, которые служили основой инфраструктуры Lumma Stealer.
По данным Microsoft, Министерство юстиции отвечало за блокировку центральной командной инфраструктуры Lumma Stealer и нарушение работы торговых площадок, на которых он продавался, в то время как Европейский центр по борьбе с киберпреступностью Европола и Японский центр по контролю за киберпреступностью работали над приостановлением работы локальной инфраструктуры.
С момента своего первого появления в 2022 году Lumma Stealer завоевал широкое распространение в глобальных сетях. Этот инфостилер, постоянно совершенствуемый разработчиками, использовался для кражи учётных данных и другой конфиденциальной информации посредством фишинга и других методов.
Этот информационный хакер был одной из немногих организаций, предлагающих вредоносное ПО как услугу и связанных с кражей данных и вымогательством у клиентов Snowflake в прошлом году. В скомпрометированных учётных записях не была включена многофакторная аутентификация.
Lumma также использовалась в атаках на игровые сообщества, системы образования и критически важные инфраструктурные организации в секторах производства, телекоммуникаций, логистики, финансов и здравоохранения.
Компания Microsoft заявила, что за два месяца, закончившихся на прошлой неделе, она выявила более 394 000 компьютеров Windows по всему миру, заражённых Lumma. Исследователи Flashpoint сообщили, что в прошлом году Lumma Stealer заразил 1,8 миллиона хостов и устройств .
В опубликованном в марте отчете Flashpoint говорится, что в прошлом году с помощью инфокрадов было украдено 2,1 млрд учетных данных, что составило почти две трети из 3,2 млрд учетных данных, украденных у всех организаций.
Microsoft описала Lumma как вредоносную программу, которую легко распространять, сложно обнаружить и которая способна обходить некоторые средства защиты. Масада отметил, что этот инфокрад — «инструмент, которым пользуются киберпреступники и злоумышленники, занимающиеся интернет-угрозами, включая таких известных злоумышленников, как Octo Tempest», также известный как Scattered Spider.
«В сотрудничестве с правоохранительными органами и отраслевыми партнёрами мы прервали связь между вредоносным инструментом и жертвами», — сказал Масада. «Эти совместные действия направлены на то, чтобы замедлить скорость атак этих злоумышленников, минимизировать эффективность их кампаний и помешать им получать незаконную прибыль, перекрыв основной источник дохода».
Помощь в ликвидации оказали компании по кибербезопасности и технологиям ESET, Bitsight, Lumen, Cloudflare, CleanDNS и GMO Registry.
По данным Microsoft, основной разработчик Lumma, «Шамель», базируется в России и предлагает различные уровни обслуживания в Telegram и других русскоязычных форумах, что позволяет киберпреступникам создавать собственные версии вредоносного ПО.
Хотя усилия по пресечению деятельности, особенно столь масштабные, существенно затрудняют деятельность киберпреступников, они не сдаются просто так.
«Как и предполагалось, наши следователи уже зафиксировали попытку злоумышленника восстановить свою инфраструктуру», — сообщил представитель Microsoft порталу CyberScoop.
«Однако благодаря решению суда и тесному сотрудничеству с партнёрами мы можем немедленно демонтировать новую инфраструктуру по мере её создания. Наша цель — максимально усложнить процесс восстановления для Lumma, в конечном итоге вынудив их полностью прекратить работы», — добавил представитель.
Масада добавил, что «перекрывая доступ к механизмам, используемым киберпреступниками, таким как Lumma, мы можем одним действием значительно помешать деятельности бесчисленного множества злоумышленников. Мы знаем, что киберпреступники настойчивы и изобретательны. Нам тоже необходимо развиваться, чтобы находить новые способы пресечения вредоносной деятельности».
