Координированная операция международных правоохранительных органов и крупных IT-компаний нанесла серьезный удар по инфраструктуре вредоносного ПО Lumma (также известного как LummaC и LummaC2), используемого для кражи пользовательских данных. В результате были конфискованы 2300 доменов, связанных с командно-контрольными серверами, управляемыми злоумышленниками.
По данным Минюста США, Lumma применялось для массовой кражи учетных данных, криптовалют и другой чувствительной информации. По оценке ФБР, с конца 2022 года вредоносное ПО поразило не менее 10 миллионов устройств. Только за март-май 2025 года Microsoft зафиксировала более 394 000 заражений Windows-систем по всему миру.
Europol назвал Lumma одной из самых серьезных угроз информационной безопасности. Пять доменов, через которые преступники получали доступ к админпанелям и запускали атаки, были выведены из строя.
За операцией стояло подразделение Microsoft по борьбе с цифровыми преступлениями (DCU), совместно с ESET, BitSight, Lumen, Cloudflare и другими компаниями.
Разработчиком Lumma считается хакер под псевдонимом «Shamel» из России. Он распространяет вредонос через модель «вредоносное ПО как услуга» (MaaS), предлагая подписки от $250 до $1000, а за $20 000 — доступ к исходному коду и правам на перепродажу.
Lumma распространяется через фишинг, вредоносную рекламу, поддельное ПО и облачные сервисы, включая Oracle Cloud и Scaleway. Оно активно использует поддельные страницы, маскирующие загрузку вредоноса, а его инфраструктура скрыта за прокси-сервисами Cloudflare, что усложняет отслеживание.
Вредонос использует многоуровневую C2-систему, резервные каналы в Telegram и Steam, а также сложные методы маскировки, включая запутанный код и обфускацию. Он часто распространяется в комплекте с нелегальными версиями популярного ПО.
С апреля по июнь 2024 года на хакерских форумах появилось более 21 000 объявлений о продаже данных, собранных с помощью Lumma — на 72% больше, чем годом ранее.
Новое вредоносное ПО Skitnet используется в атаках для кражи данных