חברת אבטחת המידע ESET שיתפה פעולה עם CleanDNS, Cloudflare, Lumen, BitSigh, ו-GMO Registry במסגרת מבצע גלובלי לשיבוש פעילותה של Lumma Stealer - תוכנת ריגול מסוג Malware-as-a-Service הידועה לשמצה. המבצע התמקד בתשתית של Lumma Stealerובמיוחד בכל שרתי הפיקוד והשליטה (C&C) הידועים מהשנה האחרונה, דבר שהוביל לשיתוק חלקי משמעותי של רשת הבוטים.
"המערכות האוטומטיות של ESET עיבדו עשרות אלפי דגימות של Lumma Stealer וניתחו אותן כדי לחלץ רכיבים מרכזיים כמו כתובות שרתי פיקוד ושליטה (C&C) ומזהי שותפים. הדבר אפשר לנו לעקוב באופן רציף אחר פעילותה של ,Lumma Stealer לקבץ את השותפים לפי זיהוי, לעקוב אחרי עדכוני הפיתוח - ועוד", מוסר יאקוב טומאנק, חוקר ב-ESET שעוקב וחוקר את פעילותה של Lumma Stealer. "משפחות נוזקות לגניבת מידע, כמו Lumma Stealer, הן בדרך כלל רק רמז מקדים למתקפות הרסניות בהרבה בעתיד. פרטי ההזדהות שנגנבים הם מצרך יקר ערך בעולם הפשע המקוון, ונמכרים על ידי מתווכי גישה ראשונית לפושעי סייבר נוספים - כולל שותפים בקבוצות כופרה" הוא מוסיף. בשנתיים האחרונות Lumma Stealer היתה אחת מנוזקות גניבת המידע הנפוצות ביותר - ללא גבולות או חסינות גאוגרפית.
מפתחי Lumma Stealer פיתחו ותחזקו באופן פעיל את התוכנה הזדונית. ESET זיהתה באופן קבוע עדכוני קוד, החל מתיקוני באגים קלים, הצפנה ועדכונים לפרוטוקול הרשת. מפעילי הבוטנט גם שמרו באופן פעיל על תשתית הרשת המשותפת. בין ה-17 ביוני 2024 ל-1 במאי 2025, ESET צפו בסך הכל ב-3,353 דומיינים ייחודיים של C&C, עם ממוצע משוער של 74 דומיינים חדשים שצצים מדי שבוע, כולל עדכונים מזדמנים ל-Dead Drops מבוססי טלגרם. התפתחות מתמשכת זו מדגישה את האיום המשמעותי שמציב לומה סטילר ומדגישה את החשיבות של מאמצי השיבוש.
Lumma Stealer מאמצת את הרעיון של נוזקה כשירות (Malware-as-a-Service), שבו שותפים משלמים דמי מנוי חודשיים בהתאם לדרגה שלהם כדי לקבל את גרסאות הנוזקה העדכניות ואת תשתית הרשת הנדרשת להוצאת מידע (data exfiltration). מודל המנוי המדורג כולל טווח מחירים של 250 עד 1,000 דולר לחודש, כאשר כל דרגה כוללת תכונות מתקדמות יותר. מפעילי Lumma Stealer יצרו גם שוק בTelegram- עבור השותפים, עם מערכת דירוג, שמאפשרת למכור מידע גנוב ללא מתווכים. שיטות ההפצה הנפוצות כוללות דיוג (phishing), תוכנות פרוצות (cracked software) ומורידי נוזקות אחרים. Lumma Stealer משתמשת במספר מצומצם אך יעיל של טכניקות אנטי-אמולציה, שהופכות את הניתוח למורכב ככל האפשר. טכניקות אלה נועדו לחמוק מזיהוי ולהקשות על מאמציהם של חוקרי אבטחה.
Lumma Stealer מאמצת את הרעיון של נוזקה כשירות (Malware-as-a-Service) שבו שותפים משלמים דמי מנוי חודשיים בהתאם לדרגה שלהם כדי לקבל את גרסאות הנוזקה העדכניות ואת תשתית הרשת הנדרשת להוצאת מידע .(data exfiltration) מודל המנוי המדורג כולל טווח מחירים של 250 עד 1,000 דולר לחודש, כאשר כל דרגה כוללת תכונות מתקדמות יותר. מפעילי Lumma Stealer יצרו גם שוק ב Telegram-עבור השותפים, עם מערכת דירוג, שמאפשרת למכור מידע גנוב ללא מתווכים. שיטות ההפצה הנפוצות כוללות פישינג, תוכנות פרוצות (cracked software) ומורידי נוזקות אחרים. Lumma Stealer משתמשת במספר מצומצם אך יעיל של טכניקות אנטי-אמולציה, שהופכות את הניתוח למורכב ככל האפשר. טכניקות אלה נועדו לחמוק מזיהוי ולהקשות על מאמציהם של חוקרי אבטחה.
יחידת הפשיעה הדיגיטלית של מיקרוסופט (Microsoft's Digital Crimes Unit) הובילה את תהליך ההשבתה, השעיה, החרמה וחסימה של הדומיינים הזדוניים שהיוו את עמוד השדרה של תשתית Lumma Stealer באמצעות צו בית משפט שניתן על ידי בית המשפט המחוזי של ארצות הברית למחוז הצפוני של ג'ורג'יה. במקביל, מחלקת המשפטים של ארצות הברית (U.S. Department of Justice) החרימה גם את לוח הבקרה של Lumma Stealer, תוך מיקוד בשוק של Lumma Stealer - ובכך גם ברוכשי הנוזקה. הפעולה תואמה עם המרכז האירופי לפשיעת סייבר של יורופול (EC3), וכן עם המרכז היפני לפיקוח על פשיעת סייבר ,(JC3) אשר סייע בהשעיית תשתיות מקומיות של Lumma Stealer ביפן.
מבצע השיבוש הגלובלי הזה התאפשר הודות למעקב ארוך-הטווח של ESET אחר ,Lumma Stealer מבצע השיבוש, בהובלת מיקרוסופט, נועד להחרים את כל הדומיינים הידועים של שרתי הפיקוד והשליטה (C&C) של Lumma Stealer ובכך להפוך את תשתית הוצאת המידע של הנוזקה לבלתי פעילה. עם זאת ESET תמשיך לעקוב אחרי נוזקות גניבת מידע נוספות, תוך מעקב צמוד אחר פעילות אפשרית של Lumma Stealer גם לאחר מבצע השיבוש הזה" מסכם טומאנק.