Стилер Lumma, по данным экспертов Check Point, пытается восстановить свою работу после недавней операции правоохранительных органов, в ходе которой были конфискованы тысячи доменов и часть инфраструктуры вредоносного ПО.
Напомним, что в середине мая 2025 года правоохранительные органы и специалисты по кибербезопасности изъяли около 2300 доменных имен, связанных с деятельностью Lumma.
В скоординированной операции против инфраструктуры вредоносного ПО участвовали Microsoft, Cloudflare, ESET, CleanDNS, Bitsight, Lumen, GMO Registry и международная юридическая фирма Orrick.
Параллельно с этим Министерство юстиции США арестовало пять доменов, связанных с панелями управления Lumma, а Европейский центр по борьбе с киберпреступностью (EC3) Европола и Японский центр по борьбе с киберпреступностью (JC3) помогли конфисковать европейскую и японскую инфраструктуру Lumma.
Подчеркивалось, что более 1300 доменов, конфискованных или переданных Microsoft, будут перенаправлены на sinkhole для сбора информации, которая будет предоставлена партнерам из государственного и частного секторов.
По словам разработчиков Lumma, основной сервер стилера не был конфискован из-за его местоположения. Однако правоохранительные органы получили к нему доступ, использовав уязвимость в Integrated Dell Remote Access Controller (iDRAC). В результате сервер был очищен, а резервные копии удалены.
Разработчики утверждают, что не регистрировали IP-адреса клиентов, но правоохранительные органы создали фишинговую страницу для сбора учетных данных и цифровых отпечатков клиентов Lumma, а также внедрили JavaScript-сниппет для доступа к веб-камерам посетителей.
Исследователи Check Point сообщают, что операция правоохранительных органов создала трудности для хак-группы, стоящей за Lumma, но стилер не был уничтожен. Серверы управления группировки продолжают работать, объем украденной информации растет, а данные продаются на теневых площадках.
«Эксперты Check Point Research наблюдают значительные усилия разработчиков Lumma по восстановлению деятельности по краже информации и возвращению к обычному режиму работы», — говорится в отчете.
Атака на инфраструктуру Lumma вызвала дискуссии на хакерских форумах, где участники выражают сомнения в будущем Lumma. При этом утверждается, что никто из разработчиков, связанных с Lumma, не был арестован.
По мнению аналитиков, дальнейшая судьба вредоносного ПО зависит от психологических и репутационных факторов, так как технические возможности Lumma ограничены, но стилер не уничтожен.
«Вполне возможно, что посеянные среди партнеров и клиентов Стилер Lumma подозрения будет нелегко преодолеть», — отмечают в Check Point.