Операция против Lumma: инфокрад не сдается
21 мая федеральное бюро расследований (ФБР), подразделение Microsoft по борьбе с цифровыми преступлениями и международные партнёры провели масштабную скоординированную операцию против инфокрада Lumma. В результате была выведена из строя большая часть инфраструктуры, захвачены тысячи доменов — что позволило рассчитывать на быстрое исчезновение этого вредоносного ПО из киберпреступного пространства.
Однако реальность оказалась иной: данные указывают на продолжающуюся активность Lumma, демонстрируя, что этот инфокрад не только не исчез, но и развивается.
Продолжающееся функционирование вредоносного ПО
Невзирая на успешную операцию, вредоносное ПО Lumma остается функциональным. Этому свидетельствует активность бота Lumma Logs Market, который продолжает регистрировать время новых заражений после проведения рейда. Анализ журналов заражений показывает, что Lumma — это не устаревшая вредоносная программа, а активно поддерживаемый и развиваемый инфокрад.
- В журналах фиксируются конкретные версии инфокрада, используемые при атаке;
- Инфраструктура организована таким образом, что информация о вредоносном ПО — включая тип сборки, язык программирования и размер — и доступна через публичные страницы без необходимости регистрации;
- Потенциальные покупатели без труда могут ознакомиться с функционалом и возможностями infostealer;
Платформа для торговли украденными данными
Инфраструктура Lumma поддерживает активные торговые площадки, предлагающие:
- Журналы с детальным описанием украденных данных — паролей, cookies и других учетных данных;
- Возможность фильтрации журналов по типу данных и географической направленности;
- Каналы технической поддержки, обеспечивающие помощь пользователям в процессе покупки и пополнения баланса.
Кроме того, был замечен резервный канал под названием “Lumma” — адаптивный ответ на давление со стороны правоохранительных и регулирующих органов, позволяющий сохранять работу платформы в изменившихся условиях.
Связи с другими киберпреступными ресурсами
Анализ вредоносных журналов выявил ссылки на внешние киберпреступные площадки и участников, в числе которых особенно выделяются:
- Lolzteam Marketplace (LZT) — известный русскоязычный форум, специализирующийся на распространении вредоносного ПО, взломанных аккаунтов в соцсетях и торговле украденными данными;
- Telegram-канал Russia 34 — площадка для торговли верифицированными аккаунтами, полученными в результате глобальных операций инфокрадов.
Эти ресурсы демонстрируют тесную взаимосвязь современных киберпреступных экосистем, показывая, как комбинация вредоносных сетей и торговых площадок создаёт операционную устойчивость и избыточность. По своим характеристикам такие структуры часто превосходят традиционные бизнес-модели по эффективности и гибкости.
Выводы
Текущая активность Lumma подчёркивает серьёзность и адаптивность угрозы, исходящей от инфокрадов. Несмотря на усилия правоохранительных органов, эти вредоносные платформы продолжают эволюционировать и сохранять свою работоспособность, представляя постоянную и серьёзную проблему в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Операция против Lumma: сохранение угрозы и развитие инфокрада".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.