Microsoft’un Dijital Suç Birimi (DCU) tarafından öncülük edilen geniş bir teknoloji ortakları ve kolluk kuvvetleri koalisyonu, fidye skorları da dahil olmak üzere, çoklu siber suç çetelerinin cephanelerinde önemli bir rol oynayan tehlikeli Lumma Stealer Hizmet Olarak Kötü Yazılım (MAAS) operasyonunu bozdu.
Mayıs ayının başlarında Gürcistan’ın Kuzey Bölgesi ABD Bölge Mahkemesinde verilen bir mahkeme emrini kullanarak DCU ve pozisyonu ele geçirdi ve Lumma operasyonunun çekirdeğini oluşturan yaklaşık 2.300 kötü amaçlı alan adını düşürdü.
DCU Genel Danışman Yardımcısı Steven Masada, “Lumma şifreleri, kredi kartlarını, banka hesaplarını ve kripto para birimi cüzdanlarını çalıyor ve suçluların okulları fidye tutmasını, banka hesaplarını boşaltmasını ve kritik hizmetleri engellemelerini sağladı” dedi.
Aynı zamanda, ABD Adalet Bakanlığı (DOJ) Maas Central Komutanlığı yapısını ele geçirdi ve erişimin satıldığı yeraltı pazarlarını hedef aldı, başka yerlerde Europol Avrupa Suç Merkezi (EC3) ve Japonya’nın Siber Suç Kontrol Merkezi (JC3) yerel olarak barındırılan altyapıdan sonra gitti.
Europol EC3 başkanı Edvardas Šileris, “Bu operasyon, kamu-özel ortaklıklarının siber suçla mücadeleyi nasıl dönüştürdüğünün açık bir örneğidir. Europol’un koordinasyon yeteneklerini Microsoft’un teknik anlayışlarıyla birleştirerek, geniş bir suç altyapısı bozuldu.
Yayını detaylandıran bir blog yazısında Masada, iki aylık bir süre boyunca Microsoft’un Lumma tarafından enfekte olmuş 394.000’den fazla Windows bilgisayar tanımladığını söyledi. Bu makineler artık “serbest bırakıldı”, Lumma ve kurbanları arasındaki iletişim koptu.
Bu ortak eylem, hızı yavaşlatmak için tasarlanmıştır. [threat] Aktörler saldırılarını başlatabilir, kampanyalarının etkinliğini en aza indirebilir ve büyük bir gelir akışını keserek yasadışı karlarını engelleyebilir
Steven Masada, Microsoft Dijital Suç Birimi
Aynı zamanda, Microsoft tarafından ele geçirilen veya Europol tarafından işlem gören 300’ü de dahil olmak üzere yaklaşık 1.300 alan adı Microsoft tarafından işletilen düdenlere yönlendiriliyor.
Masada, “Bu, Microsoft’un DCU’sunun şirketin hizmetlerinin güvenliğini zorlaştırmak ve çevrimiçi kullanıcıları korumaya yardımcı olmak için eyleme geçirilebilir istihbarat sağlamasını sağlayacak” dedi. “Bu içgörüler, bu tehdidi izlemeye, araştırmaya ve düzeltmeye devam ettikleri için kamu ve özel sektör ortaklarına da yardımcı olacak.
“Bu ortak eylem, bu aktörlerin saldırılarını başlatma, kampanyalarının etkinliğini en aza indirme ve büyük bir gelir akışını keserek yasadışı karlarını engelleyebilme hızını yavaşlatmak için tasarlanmıştır.”
Lumma bukalemun
Lumma Stealer Maas ilk olarak üç yıl önce yeraltı sahnesinde ortaya çıktı ve o zamandan beri sürekli kalkınma altında.
Rusya’ya dayanan ve “Shamel” tulumunu kullanan birincil geliştirici tarafından yönetilen Lumma, 250 $ ‘dan (186 £) başlayan ve alıcıların Lumma’nın stil ve panel kaynak koduna, eklentiler için kaynak koduna ve bayi olarak hareket etme hakkına erişim aldığı göz kamaştırıcı 20.000 $’ a yükselen dört hizmet katmanı sunuyor.
2023’te bir siber araştırmacı ile konuşmada Shamel, yaklaşık 400 aktif kullanıcıya sahip olduğunu iddia etti.
Konuşlandırıldığında, amaç genellikle çalınan verileri para kazanmak veya daha fazla sömürü yapmaktır. Bir bukalemun gibi, tespit etmek zordur ve görünmeyen birçok güvenlik savunmasıyla kayabilir. Kurbanlarını cezbetmek için Lumma, Microsoft da dahil olmak üzere güvenilir markaları parodi haline getiriyor ve kimlik avı ve kötü niyetle yayılıyor.
Bu nedenle, birçok kişi için bir araç haline geldi ve fidye yazılımı çeteleri de dahil olmak üzere dünyanın daha kötü şöhretli siber suç kolektiflerinin çoğu tarafından kullanıldığı biliniyor. Müşterileri, bir zamanlar dağınık bir örümcek, Grup’un İngiltere’de Marks & Spencer’a yönelik fidye yazılımı saldırısının arkasında olduğu düşünülüyordu, ancak bu olayda kullanıldığını öne sürecek halka açık bir kanıt yoktu.
Yayından kaldırma sırasında önemli destek sağlayan Cloudflare’de CloudForce One’ın başkanı Blake Darché, “Lumma, web tarayıcınıza giriyor ve bilgisayarınızda dolar veya hesaplara erişmek için kullanılabilecek her bir bilgi parçasını hasat ediyor – kurban profili her yerde herkes, her yerde.
“Kötü amaçlı yazılımın arkasındaki tehdit aktörleri, günde yüzlerce kurbanı hedefleyerek ellerini alabilecekleri her şeyi alıyordu. Bu bozulma, operasyonlarını günlerce tam olarak geri getirmek için çalıştı, önemli sayıda alan ismini düşürdü ve nihayetinde siber suç işleyerek para kazanma yeteneklerini engelledi.
Darché, “Bu çaba, herhangi bir tehdit aktörü gibi en büyük küresel infostealer’ın altyapısına büyük bir anahtar atarken, Lumma’nın arkasındaki kişiler taktikleri değiştirecek ve kampanyalarını çevrimiçi hale getirmek için yeniden ortaya çıkacak” dedi.