Europol, FBI, Microsoft ve diğer kamu ve özel sektör ortakları tarafından koordineli bir operasyon, hizmet olarak kötü amaçlı yazılım (MAAS) modeli ile dağıtılan üretken bir kötü amaçlı yazılım olan Lumma Infostealer’ı hedef aldı.
Kimlik bilgilerini çalmak ve dağınık örümcek, kızgın likho ve coralraider gibi kötü şöhretli siber suçlu gruplar için tercih edilen bir araç olarak bilinen Lumma’nın altyapısı önemli bir bozulma ile karşı karşıya kaldı.
15 Mayıs’tan itibaren, kolluk kuvvetleri Lumma ile ilişkili yaklaşık 2.500 alan ele geçirdi, komuta ve kontrol (C2) sunucularına ve yönetim panolarına erişimi sakladı.
.png
)
Global Operasyon Lumma Altyapısını Hedefliyor
Dark Web Forumları, erişilemeyen hizmetlerle ilgili müşteri şikayetleriyle vızıldadı ve acil etkiyi vurguladı.
Bununla birlikte, operasyon Lumma’nın Rusya tarafından barındırılan altyapısını tam olarak sökemedi ve operasyonlarının kritik bir bölümünü bozulmadan bıraktı.
Lumma’nın geliştiricisi daha sonra coğrafi konumu ile korunan ana sunucu, entegre Dell uzaktan erişim denetleyicisinde (IDRAC) açıklanmayan bir güvenlik açığı ile sızdığını ortaya koydu.
Kolluk kuvvetleri sunucuyu ve yedeklemeleri sildi, kullanıcı kimlik bilgilerini hasat etmek için bir kimlik avı girişi sayfası ekti ve web kameralarına erişmek için bir JavaScript snippet’i ekledi ve kötü amaçlı ekosistem üzerindeki psikolojik baskıyı artırdı.
Yayından kaldırılmasına rağmen, Lumma’nın geliştiricileri operasyonları geri yüklemek için hızla çalışarak dikkate değer bir esneklik gösterdiler.
23 Mayıs’a kadar, geliştirici nöbeti kamuya açıkladı, ancak siber suç forumlarında paylaşılan telgraf konuşmalarıyla kanıtlandığı gibi, hizmetlerin normale döndüğünü iddia etti ve iddia etti.
Kontrol noktasına göre teknik analiz, Rusya kayıtlı birçok C2 sunucusunun işlevsel kaldığını ve yayından kaldırmanın kısmi başarısının altını çizdiğini doğrular.
İtibar hasarının ortasında esneklik
Ayrıca, Lumma ile enfekte olmuş sistemlerden çalınan veriler yasadışı pazarlarda yüzeye çıkmaya devam ediyor ve operasyondan sadece iki gün sonra 41 ülkeden 95 günlük sunan bir telgraf botu 29 Mayıs’a kadar 406 günlüklere yükseliyor.
Merkezi Rus pazarları ayrıca kalıcı aktiviteyi gösteren taze Lumma günlükleri sergiliyor.
Teknik hasar önemli olmakla birlikte, Lumma’ya itibaren darbe daha uzun vadeli bir zorluk yaratabilir.
Kolluk kuvvetlerinin, Lumma’nın Telegram kanalında yöneticilerden ve bağlı kuruluşlardan işbirliği iddiasıyla mesaj göndermek gibi psikolojik taktikler, Cronos gibi operasyonlarda Lockbit Fidye Yazılımlarına karşı kullanılan yansıtma stratejileri.
Tehdit aktörleri, web kamerasına erişen JavaScript snippet’inin etkinliğini sorgulamış olsa da, onu ilkel olarak reddetse de, Lumma’nın kullanıcı tabanı arasında ekilen güvensizlik tohumları iyileşmesini engelleyebilir.
Karanlık Web forumlarındaki karışık görüşler, bazıları özel, ağızdan ağıza operasyonlara geçişi tahmin ederken, Lumma’nın geleceği hakkındaki belirsizliği yansıtırken, diğerleri etkinin geçici olacağına inanıyor.
Check Point Research, Lumma’nın geliştiricileri altyapılarını agresif bir şekilde yeniden yüklerken, kötü amaçlı yazılımların markasının ve bağlı kuruluşlar arasındaki güvenin kolayca iyileşmeyebileceğini belirtiyor.
Operasyonun psikolojik bozulmaya odaklanması, çalınan verilerin kalıcı kullanılabilirliği ile birleştiğinde, Lumma’nın yoğun bir inceleme altında da olsa güçlü bir tehdit olarak kaldığını göstermektedir.
Kolluk kuvvetleri böyle bir siber suçla savaşmaya devam ettikçe, teknik yayından kaldırma ve itibar hasarı arasındaki etkileşim, Lumma’nın gelişen tehdit manzarasındaki yörüngesini belirleyecektir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!