Europolov Europski centar za kibernetički kriminal u suradnji s Microsoftom zadao je značajan udarac kibernetičkim kriminalcima koji su koristili najvećeg svjetskog kradljivca informacija Lumma Stealer. Kako su priopćili iz Europola, zajednička operacija usmjerena je na sofisticirani ekosustav koji je kriminalcima omogućavao masovno iskorištavanje ukradenih informacija.
Između 16. ožujka i 16. svibnja 2025., Microsoft je identificirao preko 394 000 Windows računala diljem svijeta zaraženih zlonamjernim softverom Lumma. U koordiniranoj operaciji Microsoftova Jedinica za digitalni kriminal (DCU), Europol i međunarodni partneri poremetili su tehničku infrastrukturu Lumme, prekinuvši komunikaciju između zlonamjernog alata i žrtava.
Ova operacija jasan je primjer kako javno-privatna partnerstva transformiraju borbu protiv kibernetičkog kriminala. Kombiniranjem Europolovih koordinacijskih sposobnosti s Microsoftovim tehničkim uvidima, poremećena je golema kriminalna infrastruktura. Kibernetički kriminalci napreduju zahvaljujući fragmentaciji – ali zajedno smo jači, istaknuo je voditelj Europolovog centra za kibernetički kriminal, Edvardas Šileris.
Što je Lumma?
Lumma Stealer, baš kao što mu ime govori, najveći je svjetski kradljivac informacija. Radi se o sofisticiranom alatu koji je omogućavao kibernetičkim kriminalcima masovno prikupljanje osjetljivih podataka s kompromitiranih uređaja. Ukradene vjerodajnice, financijski podaci i osobni podaci prikupljani su i prodavani na crnom tržištu, što je Lummu učinilo središnjim alatom za krađu identiteta i prijevare diljem svijeta.
Tržnica Lumma funkcionirala je kao središte za kupnju i prodaju zlonamjernog softvera, pružajući kriminalcima jednostavan pristup naprednim mogućnostima krađe podataka. Njegova široko rasprostranjena upotreba i dostupnost učinili su ga preferiranim izborom za kibernetičke kriminalce koji žele iskoristiti osobne i financijske podatke.
Kako ističu iz Microsofta, Lumma se prodaje putem ilegalnih foruma još od 2022. godine kao zlonamjerni softver kao usluga. Lako se distribuira, teško otkriva i može se programirati da zaobiđe određene sigurnosne značajke, zbog čega se često koristi u kombinaciji s ransomwareima.
Otkud dolazi?
Prema Microsoftovim podacima, glavni programer Lumme nalazi se u Rusiji i koristi internetski pseudonim "Shamel". Putem Telegrama i drugih ruskih foruma nudi različite razine usluga za Lummu. Ovisno o tome koju uslugu kibernetički kriminalac kupi, može stvoriti vlastite verzije zlonamjernog softvera, dodati alate za njegovo skrivanje i distribuciju te pratiti ukradene informacije putem online portala.
Kako djeluje?
Izvješća više tvrtki za kibernetičku sigurnost ističu njezinu upotrebu u napadima na kritičnu infrastrukturu, poput sektora proizvodnje, telekomunikacija, logistike, financija i zdravstva.
Ovisno o kampanji koju kibernetički kriminalac odabere, Lumma Stealer koristi različite tehnike za širenje.
Iz Microsofta ističu kako su najčešće:
Phishing e-poruke: Lumma Stealer e-poruke lažno se predstavljaju kao poznate robne marke i usluge kako bi isporučivale poveznice ili privitke. Ove kampanje uključuju stručno izrađene e-poruke osmišljene da izazovu hitnost, često se maskirajući kao hitne potvrde rezervacije hotela ili otkazivanja rezervacija na čekanju. E-poruke vode žrtve do kloniranih web stranica ili zlonamjernih poslužitelja koji implementiraju Lumma paket u okruženje meta.
Zlonamjerno oglašavanje: Akteri prijetnji ubacuju lažne oglase u rezultate tražilica, ciljajući upite povezane sa softverom poput „preuzimanje Notepad++-a“ ili „ažuriranje Chromea“. Klikom na ove lažne poveznice korisnici dolaze do kloniranih web stranica koje blisko oponašaju legitimne dobavljače, ali umjesto toga isporučuju Lumma Stealer.
Preuzimanje putem interneta na kompromitiranim web stranicama: Primijećeno je da su akteri prijetnji kompromitirali skupine legitimnih web stranica, obično putem određene ranjivosti ili pogrešne konfiguracije. Oni mijenjaju sadržaj web-mjesta umetanjem zlonamjernog JavaScripta. JavaScript se pokreće kada žrtve posjete web stranice ništa ne sluteći, što dovodi do isporuke korisnog sadržaja, posredničkog skripta ili prikazivanja daljnjih mamaca kako bi se korisnici uvjerili da izvrše određenu radnju.
Trojanizirane aplikacije: U mnogim kampanjama, krekirane ili piratske verzije legitimnih aplikacija u paketu su s Lumma binarnim datotekama i distribuiraju se putem platformi za dijeljenje datoteka. Ovi modificirani instalacijski programi često ne sadrže vidljive podatke tijekom instalacije, izvršavajući zlonamjerni softver tiho nakon pokretanja.
Zlouporaba legitimnih usluga i ClickFixa: Javni repozitoriji poput GitHuba zlorabe se i popunjavaju skriptama i binarnim datotekama, često prikrivenim kao alati ili uslužni programi. Posebno prijevarna metoda uključuje lažne CAPTCHA stranice, koje se često primjećuju u ekosustavu ClickFixa. Metama se daje uputa da kopiraju zlonamjerne naredbe u uslužni program Run svog sustava pod izlikom prolaska provjere. Ove naredbe često preuzimaju i izvršavaju Lummu izravno u memoriji, koristeći Base64 kodiranje i prikrivene lance isporuke.
Ispušta ga drugi zlonamjerni softver: Microsoft Threat Intelligence primijetio je druge učitavače i zlonamjerni softver poput DanaBota koji isporučuje Lumma Stealer kao dodatni korisni teret.
Koordinirani odgovor diljem svijeta
Iz Europola ističu kako su oni djelovali kao središnja točka u Europi za razmjenu i koordinaciju obavještajnih podataka koji su korišteni u onemogućavanju Lumme.
U koordiniranom potezu, Ministarstvo pravosuđa Sjedinjenih Država (DOJ) zaplijenilo je Lumma kontrolnu ploču, koja je bila ključna za Lumma tržište. Microsoftova suradnja s japanskim Centrom za kontrolu kibernetičkog kriminala (JC3) također je dovela do suspenzije Lumma infrastrukture sa sjedištem u Japanu, što je dodatno uništilo kriminalnu mrežu.
Prekidanje alata koje kibernetički kriminalci često koriste može stvoriti značajan i trajan utjecaj na kibernetički kriminal, jer obnova zlonamjerne infrastrukture i nabava novih alata za iskorištavanje zahtijeva vrijeme i košta novac. Prekidanjem pristupa mehanizmima koje kibernetički kriminalci koriste, poput Lumme, mogu se značajno poremetiti operacije bezbrojnih zlonamjernih aktera jednom akcijom.
Znamo da su kibernetički kriminalci uporni i kreativni. I mi se moramo razvijati kako bismo identificirali nove načine za ometanje zlonamjernih aktivnosti, istaknuli su na kraju iz Microsofta.
