Microsoft, uluslararası kolluk kuvvetlerinin desteğiyle küresel bir yayından kaldırmada, yaygın kimlik bilgisi hırsızlığı, finansal sahtekarlık ve fidye yazılımı saldırılarından sorumlu büyük bir kötü amaçlı yazılım dağıtım ağını bozdu. Operasyon, yaklaşık 400.000 enfekte Windows cihazından hassas bilgileri çalmak için yüzlerce tehdit aktörü tarafından kullanılan bir Infostealer kötü amaçlı yazılım olan Lumma Stealer’ı hedefledi.
Bu koordineli çaba, Microsoft’un Dijital Suçlar Birimi (DCU), ABD Adalet Bakanlığı, Europol ve özel sektördeki siber güvenlik ortaklarını içeriyordu. Birlikte, 2.300’den fazla alan ele geçirdiler ve Lumma’nın altyapısını sökerek saldırganlar ve kurbanları arasındaki bağlantıyı kopardılar.
Global Repake ile Hizmet Olarak Kötü Yazılım Operasyonu
Lumma Stealer, en az 2022’den beri yeraltı forumları aracılığıyla, şifrelerden ve kredi kartı numaralarından kripto cüzdanlarına ve bankacılık kimlik bilgilerine kadar her şeyi çalmak isteyen siber suçlular için bir fiş ve oyna çözümü olarak pazarlanmıştır. Kullanım kolaylığı ve uyarlanabilirliği, Octo Tempest gibi yüksek profilli fidye yazılımı grupları da dahil olmak üzere tehdit aktörleri arasında çekiş kazanmasına yardımcı oldu.
Araç genellikle kimlik avı kampanyaları, kötüverizasyon ve kötü amaçlı yazılım yükleyicileri aracılığıyla yayılır. Bu yılın başlarında bir kampanyada, saldırganlar kurbanları, deneyimli kullanıcıları bile kandırmaya devam eden bir taktik olan kötü amaçlı yazılımları indirmeye teşvik etmek için Booking.com’u taklit etti.
Microsoft’un tehdit istihbarat ekibi, Mart ayından Mayıs 2025’e kadar yaygın enfeksiyon kalıplarını belirleyerek Lumma’nın faaliyetlerini yakından izledi. Şirket tarafından paylaşılan ısı haritaları, bu kötü amaçlı yazılımların küresel ayak izini, Kuzey Amerika, Avrupa ve Asya’nın bazı enfekte cihaz konsantrasyonlarıyla göstermektedir.
Yasal işlem ve altyapı ele geçirme
Microsoft’un blog yazısına göre, 13 Mayıs’ta Microsoft, ABD’nin Kuzey Bölgesi Gürcistan Bölgesi Mahkemesinde yasal işlem yaparak Lumma’nın komuta yapısına bağlı kötü niyetli alanları engellemek ve ele geçirmek için bir mahkeme emri aldı. Eşzamanlı olarak, DOJ merkezi altyapının kontrolünü ele geçirdi ve Avrupa ve Japonya’daki kolluk kuvvetleri operasyonu destekleyen yerel sunucuları kapattı.
1.300’den fazla alan, şimdi kullanıcıları korumaya ve devam eden araştırmaları desteklemeye yardımcı olmak için istihbarat toplayan Sopalar olarak bilinen Microsoft kontrollü sunuculara yönlendirildi. Bu hareket, kötü amaçlı yazılımların çalınan verileri iletme veya saldırganlardan talimat alma yeteneğini azaltır.
Kötü amaçlı yazılımın arkasındaki iş
Lumma sadece kötü amaçlı yazılım değil, bir işti. Katmanlı bir abonelik modeli altında satılan, 250 $ için temel kimlik bilgisi hırsızlık araçlarından 20.000 $ karşılığında tam kaynak kod erişimine kadar hizmetler sundu. Online “Shamel” olarak bilinen yaratıcısı, operasyonu bir başlangıç gibi çalıştırdı, Lumma’yı farklı bir kuş logosu ve kötü niyetli niyetini küçümseyen sloganlar ile tanıttı.
Bir güvenlik araştırmacısı ile 2023 röportajında Shamel, 400 aktif müşteriye sahip olduğunu iddia etti. Kamusal varlığı, yaygın sahtekarlığa katılmasına rağmen, daha geniş bir konuyu yansıtıyor: icra veya uluslararası işbirliğine öncelik vermeyen yargı alanlarında cezasızlıkla faaliyet gösteren siber suçlular.
Endüstri yanıtı ve ilerleme
Lumma, ESET, Cloudflare, Lumen, CleanDNS, Bitsight ve GDO kayıt defteri gibi çok çeşitli şirketlerden destek çekti. Her biri altyapının tanımlanmasında, tehdit istihbaratını paylaşmada veya yayından kaldırma işlemlerini hızlı ve verimli bir şekilde yürütmede rol oynadı.
Massachusetts merkezli bir siber güvenlik firması Black Duck altyapı güvenlik uygulama direktörü Thomas Richards, “Bu, kolluk kuvvetleri ve endüstrinin kombinasyonunun ne kadar güçlü olabileceğini gösteriyor” dedi. “Bu operasyonun sökülmesi yüz binlerce insanı koruyacak. Ama aynı derecede önemli olan takip, kurbanların uyarıldığından ve desteklendiğinden emin olun.”
Richards, son yıllarda hizmet olarak kötü amaçlı yazılım piyasasının büyümesinin, bu araçlardan elde edilen zararı sınırlamak için sektörler arasında tutarlı bir işbirliği gerektirdiğini de sözlerine ekledi.
Ne yapabilirsin
Bu operasyon çevrimiçi en yaygın info-stajyerlerden birini bozarken, Lumma her gün kullanıcıları hedefleyen birçok tehditten sadece biri. Microsoft ve Güvenlik Profesyonelleri halka şunları bildirir:
- E -posta bağlantıları ve ekler konusunda dikkatli olun
- Saygın antivirüs ve kötü amaçlı yazılım önleyici araçlar kullanın
- İşletim sistemlerini ve yazılımları güncel tutun
- Mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirin
Lumma Stealer, siber suçlular arasında favoriydi çünkü çalıştı ve ölçekte çalıştı. Microsoft ve ortakları altyapısını kapatarak kötü niyetli aktörlerin verimli çalışma yeteneğini bozdular. Ancak siber suç kârlı olduğu sürece, kavga devam ediyor.