Компания ESET – лидер в области информационной безопасности – совместно с Microsoft, BitSight, Lumen, Cloudflare, CleanDNS и GMO Registry провели глобальную операцию по обезвреживанию Lumma Stealer, вредоносного программного обеспечения для кражи информации. Операция была направлена на инфраструктуру угрозы, в том числе на все известные командные серверы (C&C) за прошлый год, что привело к прекращению активности ботнета.
«Автоматизированные системы ESET проанализировали десятки тысяч образцов Lumma Stealer, разделив их на элементы, такие как командные серверы и связанные идентификаторы. Это позволило нам непрерывно отслеживать активность Lumma Stealer, обновление версий и другое. Группа таких вредоносных программ для кражи информации, как правило, является лишь предшественниками будущих гораздо более разрушительных атак. Украденные учетные данные – ценный товар в мире киберпреступности, который продается другим злоумышленникам, в частности, и тем, кто требует выкуп. Lumma Stealer была одной из самых популярных угроз для кражи данных за последние два года, распространяясь в разных частях мира», ― рассказывает Якуб Томанек, исследователь ESET.
Киберпреступники Lumma Stealer активно разрабатывали и обновляли вредоносное программное обеспечение. Однако исследователи ESET обнаруживали обновление кода – от незначительных исправлений до полной замены шифрования строк и изменений сетевого протокола. В частности, с 17 июня 2024 по 1 мая 2025 года было зафиксировано в общей сложности 3353 уникальных C&C домена, при этом еженедельно появлялось в среднем 74 новых домена. Операторы ботнета также активно поддерживали общую сетевую инфраструктуру. Эти изменения подчеркивают опасность угрозы Lumma Stealer и важность усилий по ее обезвреживанию.
Злоумышленники Lumma Stealer предоставляют вредоносное программное обеспечение как услугу, предусматривающую ежемесячную плату других киберпреступников за получение новых версий угрозы и сетевой инфраструктуры, необходимой для кражи данных. Модель подписки в зависимости от функций предполагает цены в диапазоне от 250 до 1000 долларов в месяц. Операторы Lumma Stealer также создали Telegram-платформу с рейтинговой системой для продажи украденных данных без посредников. Среди распространенных методов – фишинг, сломанное программное обеспечение и другие загрузчики вредоносного программного обеспечения. Lumma Stealer использует несколько эффективных техник борьбы с эмуляцией, максимально усложняющих анализ для избегания выявления и препятствования работе аналитиков по безопасности.
Подразделение цифровых преступлений Microsoft способствовало выявлению, приостановке, изъятию и блокированию вредоносных доменов, которые составляли основу инфраструктуры Lumma Stealer, на основании постановления, выданного окружным судом Северного округа штата Джорджия США. Министерство юстиции США одновременно изъяло панель управления Lumma Stealer, нацелившись на маркетплейс угрозы и в свою очередь на покупателей вредоносного программного обеспечения. Эти действия были скоординированы с Европейским центром по борьбе с киберпреступностью Европола, а также Центром по борьбе с киберпреступностью Японии, что способствовало приостановке работы инфраструктуры Lumma Stealer.
«Эта глобальная операция по обезвреживанию стала возможной благодаря длительному отслеживанию Lumma Stealer. Операция под руководством Microsoft была направлена на извлечение всех известных C&C доменов, что сделало инфраструктуру вредоносного программного обеспечения неактивной. Однако специалисты ESET продолжат отслеживать другие угрозы для кражи данных, при этом внимательно следя за активностью Lumma Stealer после этой операции», – подытоживает Якуб Томанек, исследователь ESET.
Подробный обзор экосистемы, а также технический анализ Lumma Stealer читайте по ссылке.