Microsoft и Министерство юстиции нанесли сокрушительный удар по империи вредоносных программ Lumma

      Корпорация Microsoft в партнерстве с Министерством юстиции США (DOJ) предприняла важный шаг в устранении одного из наиболее распространенных в настоящее время инструментов борьбы с киберпреступностью. Подразделение Microsoft по борьбе с цифровыми преступлениями (DCU) сотрудничало с Министерством юстиции, Европолом и несколькими мировыми фирмами по кибербезопасности, чтобы взломать сеть вредоносных программ Lumma Stealer — платформу "вредоносное ПО как услуга" (MaaS), причастную к сотням тысяч цифровых атак по всему миру.

      По данным Microsoft, с марта по середину мая 2025 года Lumma Stealer заразил более 394 000 компьютеров с Windows. Вредоносное ПО стало излюбленным инструментом киберпреступников для кражи учетных данных для входа в систему и конфиденциальной финансовой информации, включая криптовалютные кошельки. Он использовался для проведения кампаний по вымогательству в отношении школ, больниц и поставщиков инфраструктуры. Согласно веб-сайту Министерства юстиции, “ФБР выявило по меньшей мере 1,7 миллиона случаев, когда LummaC2 использовался для кражи такого рода информации”.

      На основании судебного приказа окружного суда США по северным округам Джорджии Microsoft удалила около 2300 вредоносных доменов, связанных с инфраструктурой Lumma. Министерство юстиции США одновременно заблокировало пять критически важных доменов LummaC2, которые служили командными центрами для киберпреступников, внедряющих вредоносное ПО. Теперь эти домены перенаправляются на правительственное уведомление о конфискации.

      Международную помощь оказали Европейский центр по борьбе с киберпреступностью Европола (EC3) и японский центр JC3, которые координировали усилия по блокировке региональных серверов. Компании, занимающиеся кибербезопасностью, такие как Bitsight, Cloudflare, ESET, Lumen, CleanDNS и GMO Registry, помогли идентифицировать и демонтировать веб-инфраструктуру.

      В рамках операции Lumma

      Lumma, также известная как LummaC2, работает с 2022 года, возможно, и раньше, и распространяет свою вредоносную программу для кражи информации, доступную для продажи через зашифрованные форумы и Telegram-каналы. Вредоносная программа разработана для простоты использования и часто поставляется в комплекте со средствами обфускации, которые помогают ей обходить антивирусное программное обеспечение. Методы распространения включают в себя фишинговые электронные письма, поддельные веб-сайты брендов и вредоносную онлайн-рекламу, известную как “малвертизинг”.

      Исследователи в области кибербезопасности говорят, что Lumma особенно опасна, поскольку позволяет преступникам быстро масштабировать атаки. Покупатели могут настраивать полезную нагрузку, отслеживать украденные данные и даже получать поддержку клиентов через специальную пользовательскую панель. Ранее Microsoft Threat Intelligence связала Lumma с печально известной бандой Octo Tempest, также известной как “Рассеянный паук”.

      В ходе одной из фишинговых кампаний, проведенных ранее в этом году, хакеры смогли подделать Booking.com и использовали Lumma для получения финансовых данных от ничего не подозревающих жертв.

      Кто за этим стоит?

      Власти полагают, что разработчик Lumma известен под псевдонимом “Шамель” и работает за пределами России. В интервью, опубликованном в 2023 году, Шамель утверждал, что у него 400 активных клиентов, и даже хвастался тем, что придумал бренд Lumma с логотипом в виде голубя и слоганом: “Зарабатывать деньги с нами так же просто”.

      Долгосрочный успех, а не нокаут

      Изображение использовано с разрешения правообладателя

      Несмотря на то, что удаление является существенным, эксперты предупреждают, что Lumma и подобные ей инструменты редко уничтожаются навсегда. Тем не менее, Microsoft и Министерство юстиции заявляют, что эти действия серьезно препятствуют преступным операциям, перекрывая их инфраструктуру и потоки доходов. Корпорация Майкрософт будет использовать захваченные домены для сбора разведывательной информации и дальнейшей защиты жертв.

      Эта ситуация подчеркивает необходимость международного сотрудничества в борьбе с киберпреступностью. Представители Министерства юстиции подчеркнули ценность государственно-частного партнерства, в то время как ФБР отметило, что санкционированные судом нарушения остаются важнейшим инструментом в системе кибербезопасности правительства.

      Поскольку служба DCU от Microsoft продолжает свою работу, это подавление Lumma создает мощный прецедент для того, чего можно достичь, когда специалисты отрасли и правительства сотрудничают в устранении угроз.

      По мере того как все больше таких организаций раскрывается и их деятельность прекращается, не забывайте защищать себя, часто меняя пароли и избегая переходов по ссылкам от неизвестных отправителей.