Мощный удар по Lumma Stealer: скоординированная операция отправила хакеров в «длительный отпуск»

В первой половине мая 2025 года международная операция, направленная на разрушение инфраструктуры Lumma Stealer — одного из самых массово используемых вредоносных сервисов категории «инфостилер», привела к масштабным результатам. Благодаря скоординированным действиям сразу нескольких IT-компаний и правоохранительных органов удалось изъять около 2300 доменов, связанных с этой вредоносной активностью, а также ликвидировать часть управляющих систем Lumma по всему миру.

Ключевую роль в операции сыграла корпорация Microsoft , добившаяся судебного решения о блокировке доменов 13 мая 2025 года. В это же время Министерство юстиции США осуществило захват контрольной панели Lumma Stealer — веб-интерфейса, через который киберпреступники управляли заражёнными машинами и продавали украденные данные. Европол через Европейский центр по борьбе с киберпреступностью (EC3) и Японский центр по контролю над кибер угрозами (JC3) обеспечил техническую помощь в ликвидации серверов Lumma, размещённых в Европе и Японии.

По данным Microsoft, с середины марта по середину мая 2025 года специалисты зафиксировали более 394 000 заражённых Lumma компьютеров под управлением Windows. После успешного вмешательства большинство каналов связи между вредоносной инфраструктурой и системами жертв было отключено.

Cloudflare подчеркнула , что инфраструктура Lumma активно использовала её сервисы для сокрытия реальных IP-адресов серверов, на которые стекались данные. Хотя заблокированные домены были деактивированы, вредонос сумел обходить межстраничные предупреждения Cloudflare. В ответ компания усилила фильтрацию, внедрив дополнительную защиту через Turnstile — механизм проверки, не позволяющий автоматизированному трафику миновать предупреждение.

Операция стала результатом сотрудничества Microsoft , Cloudflare , ESET , CleanDNS , Bitsight , Lumen , GMO Registry и международной юридической фирмы Orrick.

Lumma Stealer (или LummaC2) представляет собой вредоносное ПО категории «инфостилер», распространяемое по модели Malware-as-a-Service. Аренда такого инструмента стоит от $250 до $1 000 в месяц. Lumma способен воровать данные с Windows и macOS-систем, включая пароли, куки, данные кредитных карт, криптокошельки и историю браузера. Среди целевых приложений — Google Chrome, Microsoft Edge, Mozilla Firefox и другие браузеры на основе Chromium.

Lumma Stealer распространялся с помощью комментариев на GitHub, сайтов с дипфейк-контентом и через рекламные кампании с вредоносным содержимым (malvertising). После заражения данные агрегируются, архивируются и передаются на управляющие серверы, а затем используются в дальнейших атаках или продаются на подпольных форумах.

Впервые Lumma появился на киберпреступных платформах в декабре 2022 года и вскоре стал одним из самых популярных инфостилеров. Согласно отчёту IBM X-Force за 2025 год, за последний год объём данных, похищенных с помощью таких программ, вырос на 12%, а доставка инфостилеров через фишинг — на 84%, где Lumma занимает лидирующие позиции.

Среди громких атак, в которых были использованы данные, украденные Lumma, значатся инциденты с PowerSchool, HotTopic, CircleCI и Snowflake. Помимо корпоративных взломов, украденные учётные данные применялись для подмены маршрутизации BGP и нарушений в RPKI-конфигурациях, как это произошло с аккаунтом Orange Spain в системе RIPE.

Дополнительно ФБР и CISA опубликовали совместное предупреждение, в котором содержатся технические индикаторы компрометации и тактики злоумышленников, использующих Lumma, чтобы компании могли оперативно выявить признаки заражения и закрыть уязвимости в инфраструктуре.