Dane ESET pozwoliły unieszkodliwić Lumma Stealer. Globalna operacja przeciw infostealerowi intensywnie atakującemu polskich użytkowników

ESET wziął udział w globalnej operacji mającej na celu zakłócenie działania Lumma Stealer, jednego z najpopularniejszych infostealerów. Polscy użytkownicy byli na 2. miejscu w Europie oraz 4. na świecie, wśród najczęściej atakowanych przez to zagrożenie (dane od lipca 2024 r.).

Operacja, prowadzona przez Microsoft, była wymierzona w infrastrukturę Lumma Stealer i objęła wszystkie znane serwery C&C z ostatniego roku, co w dużej mierze uczyniło botnet nieoperacyjnym. ESET dostarczył zarówno analiz technicznych, jak i informacji statystycznych, a także wyodrębnił kluczowe dane z dziesiątek tysięcy próbek, ponieważ twórcy Lumma Stealer aktywnie rozwijali i utrzymywali złośliwe oprogramowanie.

ESET nawiązał współpracę z Microsoft, BitSight, Lumen, Cloudflare, CleanDNS i GMO Registry w ramach globalnej operacji mającej na celu zakłócenie działania Lumma Stealer — niesławnego infostealera dystrybuowanego w modelu Malware-as-a-Service. Operacja była wymierzona w infrastrukturę Lumma Stealer, w szczególności we wszystkie znane serwery C&C z ostatniego roku, co w dużej mierze doprowadziło do unieruchomienia botnetu. W okresie od lipca 2024 infostealer intensywnie targetował m.in. użytkowników z Meksyku (7,41% wszystkich ataków), Hiszpanii (5,42%), USA (4,60%) oraz Polski (3,78%).

Systemy automatyczne ESET przetworzyły dziesiątki tysięcy próbek Lumma Stealer, analizując je w celu wyodrębnienia kluczowych elementów, takich jak serwery C&C i identyfikatory afiliacyjne. Pozwoliło nam to na ciągłe monitorowanie aktywności Lumma Stealer, grupowanie afiliantów, śledzenie aktualizacji i wiele więcej. Działanie złośliwego oprogramowania typu infostealer, takiego jak Lumma Stealer, jest zazwyczaj zapowiedzią znacznie poważniejszych ataków. Pozyskane dane uwierzytelniające stanowią cenny towar w podziemnym świecie cyberprzestępczym, sprzedawany innym cyberprzestępcom, w tym afiliantom ransomware

Jakub Tomanek

badacz ESET zajmujący się Lumma Stealer

Lumma Stealer w ciągu ostatnich dwóch lat był jednym z najczęściej występujących infostealerów, nie omijając żadnego zakątka świata. Jego twórcy aktywnie rozwijali i utrzymywali złośliwe oprogramowanie. ESET regularnie zauważał aktualizacje kodu — od drobnych poprawek błędów po całkowitą wymianę szyfrowania oraz zmiany w protokole sieciowym. Operatorzy botnetu również aktywnie utrzymywali wspólną infrastrukturę sieciową. Między 17 czerwca 2024 r. a 1 maja 2025 r. ESET zaobserwował łącznie 3353 unikalne domeny C&C i przeciętną liczbą 74 nowych domen tygodniowo, w tym okazjonalne aktualizacje do resolverów typu "dead drop" opartych na Telegramie. Ta ciągła ewolucja podkreśla powagę zagrożenia, jakie stanowi Lumma Stealer i znaczenie przeprowadzonych działań zakłócających.

Lumma Stealer działa w modelu malware-as-a-service, gdzie afilianci płacą miesięczną opłatę w zależności od poziomu dostępu, aby uzyskać najnowsze wersje malware oraz infrastrukturę do wyprowadzania danych. Model subskrypcji obejmuje ceny od 250 do 1000 USD miesięcznie, z coraz bardziej zaawansowanymi funkcjami. Operatorzy Lumma Stealer stworzyli także rynek na Telegramie dla afiliantów, z systemem ocen umożliwiającym sprzedaż wykradzionych danych bez pośredników. Do najczęstszych metod dystrybucji Lumma Stealer należą phishing, zainfekowane wersje oprogramowania i inne narzędzia do pobierania malware. Lumma Stealer wykorzystuje kilka skutecznych technik antyemulacyjnych, które mają utrudnić analizę i wykrycie przez specjalistów ds. bezpieczeństwa.

Jednostka Digital Crimes Unit Microsoftu przeprowadziła likwidację poprzez zawieszenie, przejęcie i blokadę złośliwych domen, które stanowiły trzon infrastruktury Lumma Stealer, na podstawie nakazu sądowego wydanego przez Sąd Okręgowy Stanów Zjednoczonych dla Północnego Dystryktu Georgii. Równocześnie Departament Sprawiedliwości USA przejął panel kontrolny Lumma Stealer, celując w jego rynek i użytkowników. Operację skoordynowano z Europejskim Centrum ds. Cyberprzestępczości Europolu (EC3) oraz Japońskim Centrum Zwalczania Cyberprzestępczości (JC3), co umożliwiło zawieszenie infrastruktury Lumma Stealer zlokalizowanej lokalnie.

Ta globalna operacja zakłócająca była możliwa dzięki naszemu długoterminowemu śledzeniu Lumma Stealer. Operacja prowadzona przez Microsoft miała na celu przejęcie wszystkich znanych domen C&C Lumma Stealer, co unieruchomiło jego infrastrukturę do wyprowadzania danych. ESET będzie jednak nadal śledzić inne infostealery oraz uważnie monitorować wszelką aktywność Lumma Stealer po zakończeniu operacji

Jakub Tomanek

badacz ESET zajmujący się Lumma Stealer

Więcej informacji na ten temat, w tym analizę techniczną, znaleźć można na blogu ESET: https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-lumma-stealer/

Wskaźnik wykrywalności Lumma Stealer na podstawie danych telemetrycznych ESET (dane od lipca 2024 r.)