מבצע השיבוש נגד תוכנת הריגול Lumma Stealer יוצא לדרך. חברת אבטחת המידע ESET שיתפה פעולה עם גופים שונים לצורך הובלת מבצע גלובלי לשיבוש פעילות של תוכנת הריגול מסוג Malware-as-a-Service הידועה לשמצה.

הגופים CleanDNS ,Cloudflare ,Lumen ,BitSigh ו-GMO Registry איחדו כוחות עם חברת אבטחת המידע לצורך הובלת המבצע.  מהלך זה התמקד בתשתית של Lumma Stealer ובמיוחד בכל שרתי הפיקוד והשליטה (C&C) הידועים מהשנה האחרונה, דבר שהוביל לשיתוק חלקי משמעותי של רשת הבוטים.

"המערכות האוטומטיות של חברת ESET עיבדו עשרות אלפי דגימות של Lumma Stealer וניתחו אותן כדי לחלץ רכיבים מרכזיים כמו כתובות שרתי פיקוד ושליטה (C&C) ומזהי שותפים", סיפר יאקוב טומאנק, חוקר ב-ESET  שעוקב וחוקר את פעילותה של Lumma Stealer.

עוד הוא ציין, כי מהלך זה סייע לכלל החברות לעקוב באופן רציף אחר פעילותה של ,Lumma Stealer לקבץ את השותפים לפי זיהוי ולעקוב אחרי עדכוני הפיתוח.  "משפחות נוזקות לגניבת מידע, כמו Lumma Stealer, הן בדרך כלל רק רמז מקדים למתקפות הרסניות בהרבה בעתיד. פרטי ההזדהות שנגנבים הם מצרך יקר ערך בעולם הפשע המקוון, ונמכרים על ידי מתווכי גישה ראשונית לפושעי סייבר נוספים – כולל שותפים בקבוצות כופרה", הוא הוסיף. 

בשנתיים האחרונות, תוכנת הריגול Lumma Stealer הייתה אחת מנוזקות גניבת המידע הנפוצות ביותר – ללא גבולות או חסינות גאוגרפית. מפתחי Lumma Stealer פיתחו ותחזקו באופן פעיל את התוכנה הזדונית.

חברת ESET זיהתה באופן קבוע עדכוני קוד, החל מתיקוני באגים קלים, הצפנה ועדכונים לפרוטוקול הרשת. מפעילי הבוטנט גם שמרו באופן פעיל על תשתית הרשת המשותפת.  בין ה-17 ביוני 2024 ל-1 במאי 2025, ESET צפו בסך הכל ב-3,353 דומיינים ייחודיים של C&C, עם ממוצע משוער של 74 דומיינים חדשים שצצים מדי שבוע, כולל עדכונים מזדמנים ל-Dead Drops מבוססי טלגרם. התפתחות מתמשכת זו מדגישה את האיום המשמעותי שמציב לומה סטילר ומדגישה את החשיבות של מאמצי השיבוש.

Lumma Stealer מאמצת את הרעיון של נוזקה כשירות (Malware-as-a-Service), שבו שותפים משלמים דמי מנוי חודשיים בהתאם לדרגה שלהם כדי לקבל את גרסאות הנוזקה העדכניות ואת תשתית הרשת הנדרשת להוצאת מידע (data exfiltration).

מודל המנוי המדורג כולל טווח מחירים של 250 עד 1,000 דולר לחודש, כאשר כל דרגה כוללת תכונות מתקדמות יותר. מפעילי Lumma Stealer יצרו גם שוק בTelegram- עבור השותפים, עם מערכת דירוג, שמאפשרת למכור מידע גנוב ללא מתווכים.

שיטות ההפצה הנפוצות כוללות דיוג (phishing), תוכנות פרוצות (cracked software) ומורידי נוזקות אחרים. תוכנת הריגול Lumma Stealer משתמשת במספר מצומצם אך יעיל של טכניקות אנטי-אמולציה, שהופכות את הניתוח למורכב ככל האפשר. טכניקות אלה נועדו לחמוק מזיהוי ולהקשות על מאמציהם של חוקרי אבטחה.

יחידת הפשיעה הדיגיטלית של מיקרוסופט (Microsoft’s Digital Crimes Unit), הובילה את תהליך ההשבתה, השעיה, החרמה וחסימה של הדומיינים הזדוניים שהיוו את עמוד השדרה של תשתית Lumma Stealer באמצעות צו בית משפט שניתן על ידי בית המשפט המחוזי של ארצות הברית למחוז הצפוני של ג’ורג’יה. 

עוד ב-

מתקפת הסייבר על רשתות הענק: כך שיבשו ההאקרים חנויות רבות

לכתבה המלאה

במקביל, מחלקת המשפטים של ארצות הברית (U.S. Department of Justice) החרימה גם את לוח הבקרה של Lumma Stealer, תוך מיקוד בשוק של Lumma Stealer ובכך גם ברוכשי הנוזקה. הפעולה תואמה עם המרכז האירופי לפשיעת סייבר של יורופול (EC3) וכן עם המרכז היפני לפיקוח על פשיעת סייבר, אשר סייע בהשעיית תשתיות מקומיות של Lumma Stealer ביפן.