Siber suç, Siber Servis AS, Dolandırıcılık Yönetimi ve Siber Suç
Kötü amaçlı yazılım işlemi yeniden gruplandırma belirtileri gösterir
Chris Riotta (@Chrisriotta) •
3 Haziran 2025
Kalıcı bir infostealer, uluslararası bir yayından kaldırılmasından sadece günler sonra yeniden ortaya çıktı, büyük ölçekli baskıların bile hizmet olarak karmaşık kötü amaçlı yazılım operasyonlarını kalıcı olarak bozamayacağının başka bir örneği.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Lummac2 olarak da bilinen Lumma, 2022’den beri Darkweb’de dolaştı ve siber suçluların kimlik bilgilerini ve finansal verileri çalması için hızla popüler bir araç haline geldi. ABD Adalet Bakanlığı, FBI ve Microsoft, Lumma’nın komuta ve kontrol ağına bağlı 2.300 alandan oluşan bir Mayıs ayına liderlik ederek, Europol’un bozulmayı doğruladığı gibi düdenlere ve istihbarat toplama trafiğini yeniden yönlendirdi (bkz: Polis Operasyonu ve Microsoft Lumma Infostealer’ı devralmak).
Microsoft’un bir organizasyonu, Storm-2477 olarak izliyor, kötü amaçlı yazılımlara ayda 250 ila 1.000 dolar arasında erişim sunuyor. Lumma enfeksiyonu genellikle dağınık örümcek de dahil olmak üzere gruplardan fidye yazılımı saldırısına bir başlangıçtır. Microsoft’un Dijital Suçlar Birimi genel danışman yardımcısı Steven Masada, 21 Mayıs yayından kaldırmayı müjdeleyen bir blog yazısında “siber suçlular ve çevrimiçi tehdit aktörleri için bir araç” yazdı. Lumma’nın birincil geliştiricisi Rusya’da yaşıyor ve internet takma adı “Shamel”.
Güvenlik firması Check Point, yayından kaldırma işleminden günler sonra yayından kaldırmayı doğrulayan, ancak FBI’ın polisin ana sunucuyu ele geçirdiği iddiasına itiraz etti. “Lumma Geliştiricisi” yazdığı sunucu, ABD kolluk kuvvetlerinin coğrafi erişiminin ötesindeydi. Lumma geliştiricisi, FBI “bilinmeyen bir istismardan sunucuya nüfuz etti ve tüm diskleri biçimlendirdi” diye yazdı. Ancak, “İşlevselliği hızlı bir şekilde geri yükledik ve daha fazla günlük ekledik.”
LAT61 tehdit istihbarat ekibi başkanı ve güvenlik firması Point Wild’ın baş teknoloji sorumlusu Zulifkar Ramzan, Lumma gibi hizmet olarak kötü amaçlı yazılım platformları genellikle yayından kaldırdıktan sonra geri tepiyor çünkü modüler tasarım ve takımları operatörlerin anahtar bileşenlerini hızlı bir şekilde yeniden birleştirmesine izin veriyor.
Ramzan, Ramzan bilgi güvenliği medyası grubuna verdiği demeçte, “Yüz binlerce sistemi tehlikeye atan ve on milyonlarca kayıt çalan Lumma durumunda, kötü amaçlı yazılımların yüksek finansal teşvikleri ve modüler mimarisi, hızlı bir dönüşü daha uygulanabilir hale getiriyor.”
Ramzan’ın tehdit istihbarat ekibinden yapılan araştırmalar, hackerların Lumma’yı 394.000’den fazla pencere cihazından ödün vermek için kullandığını ve 16 Mayıs’ta biten sadece iki ayda 70 milyondan fazla rekoru söndürdüğünü gösteriyor. Lumma’nın geri dönüşü hızlı olsa da, siber suç operasyonlarının altyapı kaydırarak ne kadar kolay uyum sağlayabileceğini ve iyileşebileceğini yansıtıyor.
“Yayından kaldırma, köklere değil yüzeye çarptı” dedi. Diyerek şöyle devam etti: “Bu operasyonların arkasındaki krallar, tutuklansın, nadiren maskeleniyor. Bu değişene kadar tehdit kaybolmayacak.”
Socradar’ın baş bilgi güvenlik görevlisi Ensar Seker, Lumma’nın gibi kötü amaçlı yazılım yeniden canlandırmalarının eskiden nadir olduğunu ancak yaygınlaştıklarını-özellikle de tehdit aktörlerinin altyapı ve yeniden düzenleme operasyonlarını hızla klonlayabileceği hizmet olarak stealer pazarında olduğunu söyledi. Seker’e göre, Lumma’nın hızlı ribaund iyi hazırlanmış, profesyonelleştirilmiş bir operasyon belirtileri gösteriyor.
Seker, “Geçmişte, koordineli bir yayından kaldırma aylarca operasyonları durdurabilir.” Dedi. “Ancak bugünün siber suçluları, haftalar değil günler içinde dönmelerine izin veren sırt kanalları, aynalar ve modüler ekosistemlerle çalışıyor.”
“Lumma’nın durumunda, geri dönüşünün hızı, sadece yeniden markalamak için çırpınan yalnız bir aktör değil, iyi hazırlanmış bir operasyon olduğunu gösteriyor.”