В мае 2025 года международное сообщество кибербезопасности нанесло серьезный удар по инфраструктуре опасного стилера Lumma. В результате масштабной операции, возглавляемой компанией Microsoft, было захвачено около 2300 вредоносных доменов и критически важные элементы управляющей инфраструктуры малвари.
Беспрецедентное международное сотрудничество
Операция объединила усилия ведущих технологических компаний и правоохранительных органов по всему миру. Министерство юстиции США взяло под контроль пять ключевых доменов панелей управления Lumma, а Европол (EC3) и Японский центр по борьбе с киберпреступностью (JC3) помогли нейтрализовать инфраструктуру в своих регионах. К операции также присоединились Cloudflare, ESET, CleanDNS, Bitsight, Lumen и другие организации.
Масштаб угрозы и принятые меры
По данным Microsoft, за период с марта по май 2025 года было выявлено более 394 000 зараженных компьютеров под управлением Windows. Специалисты компании реализовали технологию sinkhole для более чем 1300 захваченных доменов, что позволит собирать критически важную информацию о действиях злоумышленников и эффективнее противодействовать угрозе.
Технические особенности противодействия
Эксперты Cloudflare раскрыли детали противостояния с операторами Lumma. Злоумышленники активно использовали сервисы компании для маскировки IP-адресов серверов, собирающих украденные данные. В ответ на попытки обхода стандартных механизмов защиты Cloudflare внедрила дополнительные меры безопасности, включая сервис Turnstile на страницах предупреждений.
Характеристики и опасность Lumma
Инфостилер Lumma, появившийся в 2022 году, представляет серьезную угрозу для пользователей Windows и macOS. Вредоносное ПО, распространяемое по модели подписки стоимостью от $250 до $1000, способно похищать широкий спектр конфиденциальных данных: учетные записи браузеров, криптовалютные кошельки, банковские данные и файлы cookie. Собранная информация компилируется в архивы и отправляется на серверы злоумышленников для последующей монетизации.
В рамках противодействия угрозе ФБР и CISA опубликовали подробный технический бюллетень с индикаторами компрометации и тактиками злоумышленников. Эксперты подчеркивают, что проведенная операция существенно повысит издержки киберпреступников и заставит их искать новые пути распространения малвари, что временно снизит эффективность их атак.
