Uma operação coordenada visando desmantelar a operação de malware as a service (MaaS) conhecida como Lumma resultou na apreensão de milhares de domínios e segmentos da infraestrutura utilizada por criminosos cibernéticos em esquemas de roubo de dados.
A investida, que ocorreu no início de maio de 2025, teve a participação conjunta de empresas de tecnologia e autoridades em nível mundial.
A operação judicial realizada pela Microsoft culminou na apreensão de aproximadamente 2.300 domínios ligados ao Lumma.
De maneira simultânea, o Departamento de Justiça dos Estados Unidos (DOJ), atuando através do FBI, conseguiu cessar as operações dos mercados de aluguel do malware e capturar seu painel de controle.
Além disso, a Europol, juntamente com autoridades do Japão, apreenderam servidores situados na Europa e no Japão.
No intervalo entre março e maio de 2025, foi possível identificar mais de 394 mil computadores com Windows infectados pelo Lumma.
De acordo com a Microsoft, as operações conjuntas conseguiram interromper a comunicação entre os sistemas comprometidos e os operadores do malware.
A Cloudflare enfatizou que estas ações forçaram os criminosos a reestruturar sua infraestrutura, resultando em elevação dos custos operacionais e dificultando a persistência de suas atividades ilícitas.
O Lumma, também referenciado como LummaC2, é um infostealer destinado a sistemas operacionais Windows e macOS, comercializado por meio de um modelo de assinatura que varia entre US$ 250 e US$ 1.000.
Este malware é especializado no roubo de credenciais, cookies, informações de cartões de crédito e dados extraídos de navegadores.
Sua distribuição ocorre através de técnicas como malvertising, comentários no GitHub e sites de deepfake.
Desde seu lançamento em 2022, ganhou rápida popularidade, sendo adotado por grupos como o Scattered Spider.
Relatórios recentes indicam que o Lumma se tornou o infostealer mais empregado em 2025.
Além de invasões em corporações como PowerSchool, HotTopic, CircleCI e Snowflake, as credenciais usurpadas também foram utilizadas em ataques de rede, incluindo o sequestro da conta RIPE da Orange Spain.
O FBI e a CISA emitiram um comunicado conjunto, disponibilizando indicadores de comprometimento e descrevendo táticas associadas ao Lumma, ressaltando a importância de uma vigilância contínua para prevenir ameaças futuras.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...