Microsoft’un Dijital Suç Birimi (DCU) Çarşamba günü, dünya çapında suç çeteleri ve diğer tehdit aktörleri arasında popüler olan kötü amaçlı yazılımların bir çeşidi olan Lumma Stealer’ı bozmak için uluslararası bir operasyon duyurdu.
Microsoft’un DCU’su genel danışman yardımcısı Steven Masada, bir blog yazısında, bilgisayar korsanlarının Lumma’yı son yıllarda büyük saldırı kampanyalarında şifreleri, kredi kartlarını, banka hesabı bilgilerini ve kripto para cüzdanlarını çalmak için kullandığını söyledi.
16 Mart ve 16 Mayıs arasında Microsoft, Lumma ile enfekte 394.000’den fazla Windows bilgisayar tanımladı. ABD’nin Kuzey Bölgesi Gürcistan Bölge Mahkemesi’nden mahkeme emri aldıktan sonra Microsoft, Lumma altyapısının belkemiğini oluşturan 2.300 alan ele geçirdi. ABD Adalet Bakanlığı ayrıca Lumma’nın merkezi komuta yapısını ele geçirdi ve Lumma’yı satan çevrimiçi pazarları bozdu.
Bir Microsoft sözcüsü Siber Güvenlik Dalışına verdiği demeçte, “Blogumuzda belirttiğimiz gibi, Lumma’nın dağıtımı kolay, tespit edilmesi zor ve belirli güvenlik savunmalarını atlamak için programlanabilir, bu da onu siber suçlular ve çevrimiçi tehdit aktörleri için bir araç haline getirebilir” dedi. “Siber suçlular tarafından, fidye yazılımı ve sahtekarlık gibi diğer siber suçları kolaylaştırabilmeleri için hesaplara veya hassas bilgilere ilk erişim elde etmek için bir verimlilik aracı olarak kullanılır.”
Yetkililer, Lumma’nın ana geliştiricisinin Rusya’da bulunduğunu ve çevrimiçi “Shamel” adı altında faaliyet gösterdiğini söyledi.
Lumma, son yıllarda en büyük en büyük bilgi operasyonlarında rol oynadı. Mart ayında Microsoft, Lumma’nın Booking.com’daki saldırılarda kullanıldığını gözlemledi.
Lumma ayrıca kötü şöhretli siber suçlu çete dağınık örümceğiyle bağlantılıdır.
Cato Networks araştırmacıları Çarşamba günü yayınlanan bir rapor Bu Lumma, Şubat ayında bir kampanyada, kötü niyetli web sitelerine ev sahipliği yapmak için Dicle ve Oracle’ın nesne depolama hizmetlerini kullanan bir rol oynadı.
“Tehdit oyuncusu infostalers’ı seviyor çünkü [they allow] Kurumsal kimlik bilgileri ve belirteçleri kaydedilmiş ve önbelleğe sahip daha az güvenli kişisel cihazları hedeflemeleri ”dedi Kristopher Russo, Palo Alto Networks birim 42’de başlıca tehdit araştırmacısı. “İlk erişim brokering büyük bir iştir ve tehdit aktörlerinin kimlik bilgilerini minimum riskle ölçeklendirmelerini sağlar.”