stihl не предоставил(а) никакой дополнительной информации.
В первой половине мая 2025 года международная операция, направленная на разрушение инфраструктуры Lumma Stealer — одного из самых массово используемых вредоносных сервисов категории «инфостилер», привела к масштабным результатам. Благодаря скоординированным действиям сразу нескольких IT-компаний и правоохранительных органов удалось изъять около 2300 доменов, связанных с этой вредоносной активностью, а также ликвидировать часть управляющих систем Lumma по всему миру.
Ключевую роль в операции сыграла корпорация Microsoft , добившаяся судебного решения о блокировке доменов 13 мая 2025 года. В это же время Министерство юстиции США осуществило захват контрольной панели Lumma Stealer — веб-интерфейса, через который киберпреступники управляли заражёнными машинами и продавали украденные данные. Европол через Европейский центр по борьбе с киберпреступностью (EC3) и Японский центр по контролю над кибер угрозами (JC3) обеспечил техническую помощь в ликвидации серверов Lumma, размещённых в Европе и Японии.
По данным Microsoft, с середины марта по середину мая 2025 года специалисты зафиксировали более 394 000 заражённых Lumma компьютеров под управлением Windows. После успешного вмешательства большинство каналов связи между вредоносной инфраструктурой и системами жертв было отключено.
Cloudflare подчеркнула , что инфраструктура Lumma активно использовала её сервисы для сокрытия реальных IP-адресов серверов, на которые стекались данные. Хотя заблокированные домены были деактивированы, вредонос сумел обходить межстраничные предупреждения Cloudflare. В ответ компания усилила фильтрацию, внедрив дополнительную защиту через Turnstile — механизм проверки, не позволяющий автоматизированному трафику миновать предупреждение.
Операция стала результатом сотрудничества Microsoft , Cloudflare , ESET , CleanDNS , Bitsight , Lumen , GMO Registry и международной юридической фирмы Orrick.
Lumma Stealer (или LummaC2) представляет собой вредоносное ПО категории «инфостилер», распространяемое по модели Malware-as-a-Service. Аренда такого инструмента стоит от $250 до $1 000 в месяц. Lumma способен воровать данные с Windows и macOS-систем, включая пароли, куки, данные кредитных карт, криптокошельки и историю браузера. Среди целевых приложений — Google Chrome, Microsoft Edge, Mozilla Firefox и другие браузеры на основе Chromium.
Lumma Stealer распространялся с помощью комментариев на GitHub, сайтов с дипфейк-контентом и через рекламные кампании с вредоносным содержимым (malvertising). После заражения данные агрегируются, архивируются и передаются на управляющие серверы, а затем используются в дальнейших атаках или продаются на подпольных форумах.
Впервые Lumma появился на киберпреступных платформах в декабре 2022 года и вскоре стал одним из самых популярных инфостилеров. Согласно отчёту IBM X-Force за 2025 год, за последний год объём данных, похищенных с помощью таких программ, вырос на 12%, а доставка инфостилеров через фишинг — на 84%, где Lumma занимает лидирующие позиции.
Среди громких атак, в которых были использованы данные, украденные Lumma, значатся инциденты с PowerSchool, HotTopic, CircleCI и Snowflake. Помимо корпоративных взломов, украденные учётные данные применялись для подмены маршрутизации BGP и нарушений в RPKI-конфигурациях, как это произошло с аккаунтом Orange Spain в системе RIPE.
Дополнительно ФБР и CISA опубликовали совместное предупреждение, в котором содержатся технические индикаторы компрометации и тактики злоумышленников, использующих Lumma, чтобы компании могли оперативно выявить признаки заражения и закрыть уязвимости в инфраструктуре.
blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/
cloudflare.com/threat-intelligence/research/report/cloudflare-participates-in-joint-operation-to-disrupt-lumma-stealer/
welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-lumma-stealer/
cleandns.com/battling-lumma-stealer-malware/
bitsight.com/blog/lumma-stealer-is-out-of-business
lumen.com/en-us/solutions/connected-security.html
justice.gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation
ic3.gov/CSA/2025/250521-2.pdf
Ключевую роль в операции сыграла корпорация Microsoft , добившаяся судебного решения о блокировке доменов 13 мая 2025 года. В это же время Министерство юстиции США осуществило захват контрольной панели Lumma Stealer — веб-интерфейса, через который киберпреступники управляли заражёнными машинами и продавали украденные данные. Европол через Европейский центр по борьбе с киберпреступностью (EC3) и Японский центр по контролю над кибер угрозами (JC3) обеспечил техническую помощь в ликвидации серверов Lumma, размещённых в Европе и Японии.
По данным Microsoft, с середины марта по середину мая 2025 года специалисты зафиксировали более 394 000 заражённых Lumma компьютеров под управлением Windows. После успешного вмешательства большинство каналов связи между вредоносной инфраструктурой и системами жертв было отключено.
Cloudflare подчеркнула , что инфраструктура Lumma активно использовала её сервисы для сокрытия реальных IP-адресов серверов, на которые стекались данные. Хотя заблокированные домены были деактивированы, вредонос сумел обходить межстраничные предупреждения Cloudflare. В ответ компания усилила фильтрацию, внедрив дополнительную защиту через Turnstile — механизм проверки, не позволяющий автоматизированному трафику миновать предупреждение.
Операция стала результатом сотрудничества Microsoft , Cloudflare , ESET , CleanDNS , Bitsight , Lumen , GMO Registry и международной юридической фирмы Orrick.
Lumma Stealer (или LummaC2) представляет собой вредоносное ПО категории «инфостилер», распространяемое по модели Malware-as-a-Service. Аренда такого инструмента стоит от $250 до $1 000 в месяц. Lumma способен воровать данные с Windows и macOS-систем, включая пароли, куки, данные кредитных карт, криптокошельки и историю браузера. Среди целевых приложений — Google Chrome, Microsoft Edge, Mozilla Firefox и другие браузеры на основе Chromium.
Lumma Stealer распространялся с помощью комментариев на GitHub, сайтов с дипфейк-контентом и через рекламные кампании с вредоносным содержимым (malvertising). После заражения данные агрегируются, архивируются и передаются на управляющие серверы, а затем используются в дальнейших атаках или продаются на подпольных форумах.
Впервые Lumma появился на киберпреступных платформах в декабре 2022 года и вскоре стал одним из самых популярных инфостилеров. Согласно отчёту IBM X-Force за 2025 год, за последний год объём данных, похищенных с помощью таких программ, вырос на 12%, а доставка инфостилеров через фишинг — на 84%, где Lumma занимает лидирующие позиции.
Среди громких атак, в которых были использованы данные, украденные Lumma, значатся инциденты с PowerSchool, HotTopic, CircleCI и Snowflake. Помимо корпоративных взломов, украденные учётные данные применялись для подмены маршрутизации BGP и нарушений в RPKI-конфигурациях, как это произошло с аккаунтом Orange Spain в системе RIPE.
Дополнительно ФБР и CISA опубликовали совместное предупреждение, в котором содержатся технические индикаторы компрометации и тактики злоумышленников, использующих Lumma, чтобы компании могли оперативно выявить признаки заражения и закрыть уязвимости в инфраструктуре.
blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/
cloudflare.com/threat-intelligence/research/report/cloudflare-participates-in-joint-operation-to-disrupt-lumma-stealer/
welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-lumma-stealer/
cleandns.com/battling-lumma-stealer-malware/
bitsight.com/blog/lumma-stealer-is-out-of-business
lumen.com/en-us/solutions/connected-security.html
justice.gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation
ic3.gov/CSA/2025/250521-2.pdf
