Microsoft e DOJ affare colpo schiacciante per Lumma malware empire

      Microsoft, in collaborazione con il Dipartimento di Giustizia degli Stati Uniti (DOJ), ha compiuto un passo importante nello smantellamento di uno degli strumenti di criminalità informatica più prolifici attualmente in circolazione. La Digital Crimes Unit (DCU) di Microsoft ha collaborato con il DOJ, Europol e diverse società di sicurezza informatica globali per interrompere la rete malware Lumma Stealer, una piattaforma malware — as-a-service (MAAS) implicata in centinaia di migliaia di violazioni digitali in tutto il mondo.

      Secondo Microsoft, Lumma Stealer ha infettato oltre 394.000 macchine Windows tra marzo e metà maggio 2025. Il malware è stato uno strumento preferito tra i criminali informatici per rubare credenziali di accesso e informazioni finanziarie sensibili, inclusi i portafogli di criptovaluta. È stato utilizzato per campagne di estorsione contro scuole, ospedali e fornitori di infrastrutture. Secondo il sito web del DOJ, " l'FBI ha identificato almeno 1,7 milioni di casi in cui LummaC2 è stato utilizzato per rubare questo tipo di informazioni.”

      Con un ordine del tribunale distrettuale degli Stati Uniti per i distretti settentrionali della Georgia, Microsoft ha eliminato circa 2.300 domini dannosi associati all'infrastruttura di Lumma. Il Dipartimento di Giustizia ha contemporaneamente eliminato cinque domini LummaC2 critici, che fungevano da centri di comando e controllo per i criminali informatici che distribuivano il malware. Questi domini ora reindirizzano a un avviso di sequestro governativo.

      L'assistenza internazionale è arrivata dal Centro europeo per la criminalità informatica (EC3) di Europol e dal JC3 giapponese, che hanno coordinato gli sforzi per bloccare i server regionali. Aziende di sicurezza informatica come Bitsight, Cloudflare, ESET, Lumen, CleanDNS e GMO Registry hanno aiutato a identificare e smantellare l'infrastruttura Web.

      All'interno dell'operazione Lumma

      Lumma, noto anche come LummaC2, è operativo dal 2022, forse prima, e rende il suo malware di furto di informazioni disponibile per la vendita attraverso forum crittografati e canali Telegram. Il malware è progettato per la facilità d'uso ed è spesso in bundle con strumenti di offuscamento per aiutare a bypassare il software antivirus. Le tecniche di distribuzione includono e-mail di spear-phishing, siti Web di marchi contraffatti e annunci online dannosi noti come “malvertising".”

      I ricercatori di Cybersecurity affermano che Lumma è particolarmente pericolosa perché consente ai criminali di scalare rapidamente gli attacchi. Gli acquirenti possono personalizzare i payload, tenere traccia dei dati rubati e persino ottenere assistenza clienti tramite un pannello utente dedicato. Microsoft Threat Intelligence in precedenza collegava Lumma alla famigerata banda Octo Tempest, nota anche come " Ragno sparso.”

      In una campagna di phishing all'inizio di quest'anno, gli hacker sono stati in grado di falsificare Booking.com e ha usato Lumma per raccogliere credenziali finanziarie da vittime ignare.

      Chi c'è dietro?

      Le autorità ritengono che lo sviluppatore di Lumma vada sotto l'alias "Shamel" e operi fuori dalla Russia. In un'intervista del 2023, Shamel ha affermato di avere 400 clienti attivi e si è persino vantato di brandizzare Lumma con un logo colomba e lo slogan: “Fare soldi con noi è altrettanto facile.”

      Interruzione a lungo termine, non un knockout

      Immagine utilizzata con il permesso del titolare del copyright

      Mentre il takedown è significativo, gli esperti avvertono che Lumma e strumenti come esso sono raramente sradicati per sempre. Tuttavia, Microsoft e il Dipartimento di Giustizia affermano che queste azioni ostacolano e interrompono gravemente le operazioni criminali tagliando le loro infrastrutture e i flussi di entrate. Microsoft utilizzerà i domini sequestrati come doline per raccogliere informazioni e proteggere ulteriormente le vittime.

      Questa situazione evidenzia la necessità di una cooperazione internazionale nell'applicazione della criminalità informatica. I funzionari del DOJ hanno sottolineato il valore delle partnership pubblico-privato, mentre l'FBI ha osservato che le interruzioni autorizzate dal tribunale rimangono uno strumento critico nel playbook della sicurezza informatica del governo.

      Mentre la DCU di Microsoft continua il suo lavoro, questo giro di vite di Lumma stabilisce un forte precedente per ciò che può essere realizzato quando gli specialisti del settore e del governo collaborano per eliminare le minacce.

      Poiché molte di queste organizzazioni sono scoperte e interrotte, ricorda di proteggerti cambiando frequentemente le tue password ed evita di fare clic su link da mittenti sconosciuti.