Microsoft викрила та ліквідувала інфостілер Lumma Stealer. Його створив росіянин
13 травня Microsoft спільно з міжнародними партнерами оголосила про знешкодження інфраструктури Lumma Stealer — одного з найпопулярніших інфостілерів серед хакерів.
Про це повідомив Стівен Масада, заступник генерального юрисконсульта Підрозділу цифрових злочинів Microsoft.
ПЗ використовували для крадіжки паролів, банківських даних, криптогаманців та доступу до облікових записів. За даними компанії, Інструмент застосовували проти компаній, шкіл, лікарень та критичної інфраструктури у низці країн.
Теплова карта, що демонструє глобальне поширення заражень і виявлень шкідливого ПЗ Lumma Stealer на пристроях з Windows. (Джерело: Microsoft)
Хто стоїть за Lumma і як працює ПЗ
Розробник Lumma — росіянин під псевдонімом Shamel. У листопаді 2023 року в інтерв’ю досліднику «g0njxa» Shamel повідомляв, що мав близько 400 активних клієнтів. Він створив цілий бренд Lumma, з логотипом у вигляді птаха, який символізує «мир і легкість», і гаслом: «З нами заробляти легко».
Стівен Масада повідомляє, що Lumma був типовим прикладом Malware-as-a-Service. З 2022 року його продавали через підпільні російськомовні форуми, а також через Telegram. Покупці могли налаштовувати власні версії: змінювати конфіг, шифрувати код, відстежувати зібрані дані через зручну адмінку. Lumma маскувався під легітимні сервіси (наприклад, Microsoft або Booking.com) і поширювався через фішингові листи та рекламу з вбудованим шкідливим кодом. Micorosoft стверджує, що Lumma використовувала група Octo Tempest (Scattered Spider).
Тільки за два місяці — з березня по травень 2025 року — Microsoft виявила 394 тисячі заражених Windows-пристроїв у всьому світі.
Про операцію Microsoft
13 травня 2025 року Підрозділ цифрових злочинів Microsoft (DCU) отримав судове рішення в окружному суді Північної Джорджії, США, що дозволило компанії захопити 2300 доменів, пов’язаних із інфраструктурою Lumma. Одночасно Міністерство юстиції США провело операцію з блокування серверів управління інфостілером та зупинило роботу підпільних маркетплейсів, де продавалась програма. В операції США допомагали правоохоронні органи Європи й Японії, а також компанії ESET, Bitsight, Lumen, Cloudflare, CleanDNS та GMO Registry.
Понад 1300 доменів перенаправлено на «сінкхоли» — спеціальні сервери Microsoft, які дозволяють безпечно перехоплювати запити від інфікованих систем, отримувати технічну інформацію про атаки та ідентифікувати типи викрадених даних. Це не лише захищає користувачів, а й дає змогу компанії та її партнерам розуміти динаміку поширення загрози.
Проте Microsoft застерігає, що Lumma можуть перезапустити під новою назвою, або його місце займе інший інфостілер.
Раніше DOU повідомляв, що база з даними українських власників вживаних авто знаходились роками у відкритому доступі. Також писали, що північнокорейські айтівці видають себе за українців для роботи в Європі.
