Microsoft i służby uderzają w Lumma Stealera. Mocny cios
Autor. Ed Hardie/Unsplash
Microsoft przejął kontrolę lub zablokował ponad 2 tysiący stron internetowych, które stanowiły rdzeń funkcjonowania Lumma Stealera. W połączeniu z czynnościami amerykańskiego Departamentu Sprawiedliwości, Europolu oraz japońskiego Centrum Kontroli Cyberprzestępczości, sparaliżowano działanie złośliwego oprogramowania wykradającego dane z komputerów.
Informacje o cyberatakch wykorzystujących programy mające za zadanie wykradanie danych są jednymi z częściej pojawiających się w mediach branżowych. Zwykle komputery są infekowane w wyniku phishingu, gdy cyberprzestępcy podszywają się pod różne podmioty w celu zdobycia zaufania.
Na naszych łamach w ostatnich miesiącach przedstawialiśmy kilkukrotnie operacje wykorzystujące infostealery. W czerwcu zeszłego roku pojawiły się informacje o programie udającym aplikację do wideokonferencji, który w rzeczywistości instalował kilka infostealerów. Z kolei w marcu na skrzynki pocztowe trafiały maile podszywające się pod serwis noclegowy.
Sparaliżowano działanie Lumma Stealera
Eksperci cyberbezpieczeństwa oprócz działań profilaktycznych aktywnie zwalczają grupy przestępcze – często we współpracy ze służbami.
Jak poinformował Microsoft, na podstawie nakazu wydanego przez amerykański sąd w połowie maja br., gigant przejął, zablokował lub zawiesił ok. 2,3 tys. domen będących rdzeniem infrastruktury Lumma Stealera. Oprogramowanie to wykrada dane do kont bankowych, kryptowalut oraz hasła, co pozwala cyberprzestępcom na paraliżowanie kluczowych usług.
Jednocześnie, we współpracy z gigantem, do akcji wkroczyły organy ścigania. Departament Sprawiedliwości USA przejął struktury organizacyjne Lummy wraz ze sklepami służącymi do zakupu infostealera, zaś Europol i japońskie Centrm Kontroli Cyberprzestępczności (JC3) doprowadziły do wyłączenia lokalnej infrastruktury oprogramowania.
Setki tysięcy zainfekowanych komputerów
Działania były również prowadzone długofalowo. Między 16 marca i 16 maja Microsoft znalazł blisko 400 tys. komputerów z systemem Windows, które zostały zainfekowane infostealerem. Najwięcej z nich przypadło na rejon Europy Środkowej, nieco mniej zidenyfikowano w USA, Brazylii, Japonii i Korei Płd.Połączenia między tymi urządzeniami oraz cyberprzestępcami zostały zablokowane przez giganta we współpracy ze służbami.
Co ciekawe, to właśnie Lumma była jednym z infostealerów wykorzystanych we wspomnianych marcowych mailach podszywających się pod serwis noclegowy. Zakres jego wykorzystania był jednak znacznie większy – od społeczności graczy do placówek edukacyjnych. Głównym twórcą narzędzia jest osoba znajdująca się na terenie Rosji, która w listopadzie 2023 r. chwaliła się obsługą „ok. 400 aktywnych klientów”.
Te spostrzeżenia pomogą partnerom z sektora publicznego i prywatnego w dalszym śledzeniu, badaniu i naprawianiu tego zagrożenia. To wspólne działanie ma na celu spowolnienie szybkości, z jaką ci aktorzy mogą przeprowadzać ataki, zminimalizowanie skuteczności ich kampanii i utrudnienie ich nielegalnych zysków poprzez odcięcie głównego strumienia przychodów.
Microsoft
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
Operacje Wojska Polskiego. Żołnierze do zadań dużej wagi
Materiał sponsorowany