„Microsoft“ ir „DOJ“ išardė „Lumma Vairer“ kenkėjiškų programų tinklą „Global Takedown“
„Microsoft“, bendradarbiaudama su JAV teisingumo departamentu (DOJ), žengė didelį žingsnį išardydamas vieną iš produktyviausių šiuo metu apyvartoje esančių kibernetinių nusikaltimų priemonių. „Microsoft“ skaitmeninių nusikaltimų skyriaus (DCU) bendradarbiavo su DOJ, Europol ir keliomis pasaulinėmis kibernetinio saugumo įmonėmis, kad sutrikdytų „Lumma Vairer“ kenkėjiškų programų tinklą-kenkėjiškų programų kaip paslaugos (MAAS) platformą, susijusią su šimtais tūkstančių skaitmeninių pažeidimų visame pasaulyje.
„Microsoft“ duomenimis, „Lumma Vairer“ nuo 2025 m. Kovo iki gegužės vidurio užkrėtė daugiau nei 394 000 „Windows“ mašinų. Kenkėjiška programa buvo palanki priemonė tarp kibernetinių nusikaltėlių pavogti prisijungimo kredencialus ir neskelbtiną finansinę informaciją, įskaitant kriptovaliutų pinigines. Jis buvo naudojamas turto prievartavimo kampanijoms prieš mokyklas, ligonines ir infrastruktūros tiekėjus. Remiantis DOJ svetaine, „FTB nustatė mažiausiai 1,7 milijono atvejų, kai„ Lummac2 “buvo naudojamas pavogti tokio tipo informaciją“.
Turėdama teismo įsakymą iš JAV apygardos šiaurinių Džordžijos rajonų teismo, „Microsoft“ nuėmė maždaug 2 300 kenksmingų domenų, susijusių su Lummos infrastruktūra. DOJ tuo pačiu metu sumažino penkis kritinius „Lummac2“ domenus, kurie veikė kaip kenkėjiškų programų dislokuojančių kibernetinių nusikaltėlių komandų ir kontrolės centrai. Šios sritys dabar nukreipia į vyriausybės konfiskavimo pranešimą.
Tarptautinė pagalba teikė Europolo Europos kibernetinių nusikaltimų centro (EC3) ir Japonijos JC3, kurie koordinavo pastangas blokuoti regioninius serverius. Kibernetinio saugumo firmos, tokios kaip „Bitsight“, „Cloudflare“, „ESET“, „Lumen“, „Cleans“ ir GMO registras, padėjo nustatyti ir išmontuoti žiniatinklio infrastruktūrą.
Lummos operacijos viduje
„Lumma“, dar žinoma kaip „Lummac2“, veikė nuo 2022 m., Galbūt anksčiau, ir suteikia savo informacijos vogimo kenkėjišką programą, skirtą parduoti per užšifruotus forumus ir telegramų kanalus. Kenkėjiška programinė įranga yra skirta lengvai naudoti ir dažnai yra sujungta su užmaskavimo įrankiais, kad padėtų apeiti antivirusinę programinę įrangą. Platinimo būdai apima el. Laiškus su ietimi, klastingos prekės ženklo svetainės ir kenksmingi internetiniai skelbimai, žinomi kaip „Malverting“.
Kibernetinio saugumo tyrėjai sako, kad Lumma yra ypač pavojinga, nes tai leidžia nusikaltėliams greitai padidinti išpuolius. Pirkėjai gali pritaikyti naudingus krovinius, sekti pavogtus duomenis ir netgi gauti klientų aptarnavimo per specialų vartotojų skydą. „Microsoft Great Intelligence“ anksčiau susiejo „Lumma“ su garsiakalbių „Octo Tempest“ gauja, dar vadinama „išsklaidytu voru“.
Vienoje sukčiavimo kampanijoje šiais metais įsilaužėliai sugebėjo apgauti Booking.com ir panaudojo Lumma, kad surinktų finansinius įgaliojimus iš neįtariančių aukų.
Kas už jo?
Valdžia mano, kad Lummos vystytojas eina slapyvardžiu „Shamel“ ir veikia iš Rusijos. 2023 m. Interviu „Shamel“ teigė, kad turi 400 aktyvių klientų ir netgi gąsdina dėl prekės ženklo „Lumma“ su „Dove“ logotipu ir šūkiu: „Uždirbti pinigų su mumis yra taip pat lengva“.
Ilgalaikis sutrikimas, o ne išmušimas
Nors panaikinimas yra reikšmingas, ekspertai perspėja, kad „Lumma“ ir tokios priemonės kaip jis retai išnaikinami. Vis dėlto „Microsoft“ ir DOJ sako, kad šie veiksmai labai trukdo ir sutrikdo baudžiamąsias operacijas, nutraukdami savo infrastruktūros ir pajamų srautus. „Microsoft“ pasinaudos konfiskuotais domenais kaip smegduobės, kad surinktų žvalgybą ir toliau apsaugotų aukas.
Ši situacija pabrėžia tarptautinio bendradarbiavimo vykdant elektroninius nusikaltimus. DOJ pareigūnai pabrėžė viešojo ir privačiojo sektorių partnerystės vertę, o FTB pažymėjo, kad teismo įgyjami sutrikimai išlieka kritine vyriausybės kibernetinio saugumo sąsiuvinio įrankiu.
Kai „Microsoft“ DCU tęsia savo darbą, šis „Lumma“ susidorojimas sukuria stiprų precedentą tam, ką galima pasiekti, kai pramonės ir vyriausybės specialistai bendradarbiauja, kad pašalintų grėsmes.
Kadangi daugiau šių organizacijų yra atidengtos ir sutrikdytos, nepamirškite apsisaugoti dažnai keičiant slaptažodžius ir venkite spustelėti nežinomų siuntėjų nuorodas.
