Microsoft и Министерство юстиции наносят сокрушительный удар по вредоносной империи Lumma

Дядя Влад

Microsoft в партнерстве с Министерством юстиции США (DOJ) предприняла важный шаг в ликвидации одного из самых распространенных в настоящее время инструментов киберпреступности . Подразделение по борьбе с цифровыми преступлениями Microsoft (DCU) сотрудничало с Министерством юстиции, Европолом и несколькими глобальными фирмами по кибербезопасности, чтобы разрушить вредоносную сеть Lumma Stealer — платформу «вредоносное ПО как услуга» (MaaS), замешанную в сотнях тысяч цифровых нарушений по всему миру.

По данным Microsoft, Lumma Stealer заразил более 394 000 машин Windows в период с марта по середину мая 2025 года. Вредоносная программа стала излюбленным инструментом киберпреступников для кражи учетных данных и конфиденциальной финансовой информации, включая криптовалютные кошельки. Она использовалась для вымогательских кампаний против школ, больниц и поставщиков инфраструктуры. Согласно веб-сайту Министерства юстиции , «ФБР выявило не менее 1,7 миллиона случаев, когда LummaC2 использовался для кражи такого типа информации».

По решению окружного суда США по северным округам Джорджии компания Microsoft удалила около 2300 вредоносных доменов, связанных с инфраструктурой Lumma. Министерство юстиции одновременно удалило пять критических доменов LummaC2, которые служили командно-контрольными центрами для киберпреступников, развертывающих вредоносное ПО. Теперь эти домены перенаправляют на уведомление о правительственном аресте.

Международная помощь пришла от Европейского центра киберпреступности (EC3) Европола и японского JC3, которые координировали усилия по блокировке региональных серверов. Фирмы по кибербезопасности, такие как Bitsight, Cloudflare, ESET, Lumen, CleanDNS и GMO Registry, помогли в выявлении и демонтаже веб-инфраструктуры.

Внутри операции Lumma

Lumma, также известная как LummaC2, работает с 2022 года, возможно, раньше, и продает свое вредоносное ПО для кражи информации через зашифрованные форумы и каналы Telegram . Вредоносное ПО разработано для простоты использования и часто поставляется в комплекте с инструментами обфускации, помогающими ему обходить антивирусное ПО. Методы распространения включают в себя фишинговые письма , поддельные сайты брендов и вредоносную онлайн-рекламу, известную как «вредоносная реклама».

Исследователи кибербезопасности говорят, что Lumma особенно опасна, поскольку позволяет преступникам быстро масштабировать атаки. Покупатели могут настраивать полезные нагрузки, отслеживать украденные данные и даже получать поддержку клиентов через специальную панель пользователя. Ранее Microsoft Threat Intelligence связывала Lumma с печально известной бандой Octo Tempest, также известной как «Scattered Spider».

В ходе одной из фишинговых кампаний в начале этого года хакеры смогли подделать Booking.com и использовать Lumma для сбора финансовых данных у ничего не подозревающих жертв.

Кто за этим стоит?

Власти полагают, что разработчик Lumma носит псевдоним «Шамель» и работает из России. В интервью 2023 года Шамель утверждал, что у него 400 активных клиентов, и даже хвастался тем, что использует для Lumma логотип с голубем и слоган: «Зарабатывать деньги с нами так же просто».

Долгосрочное нарушение, а не нокаут

Уведомление о конфискации домена ФБР Министерства юстиции США
Изображение использовано с разрешения владельца авторских прав

Хотя удаление является значительным, эксперты предупреждают, что Lumma и подобные ей инструменты редко искореняются навсегда. Тем не менее, Microsoft и Министерство юстиции заявляют, что эти действия серьезно затрудняют и подрывают преступные операции, отрезая их инфраструктуру и источники доходов. Microsoft будет использовать конфискованные домены в качестве воронок для сбора разведданных и дальнейшей защиты жертв.

Эта ситуация подчеркивает необходимость международного сотрудничества в борьбе с киберпреступностью. Представители Министерства юстиции подчеркнули ценность государственно-частного партнерства, в то время как ФБР отметило, что санкционированные судом нарушения остаются важнейшим инструментом в правительственном плане кибербезопасности.

Пока DCU компании Microsoft продолжает свою работу, эта операция по борьбе с Lumma создает весомый прецедент того, чего можно добиться, когда специалисты отрасли и правительства сотрудничают для устранения угроз.

Поскольку все больше таких организаций раскрываются и подрываются, не забывайте защищать себя, регулярно меняя пароли и избегая перехода по ссылкам от неизвестных отправителей.