L’opération de Lumma Stealer a frappé 400 000 ordinateurs dans le monde avant le retrait coordonné fermant les chevilles de cybercriminalité russes.
Microsoft et le ministère américain de la Justice ont démantelé l’une des plus grandes opérations de cybercriminalité au monde, saisissant plus de 2 300 domaines malveillants et en fermant le malware Lumma Stealer qui a infecté près de 400 000 ordinateurs dans le monde.
Le retrait coordonné a ciblé une entreprise criminelle dirigée par russe qui était devenue l’arme de choix pour des centaines de cybercriminels cherchant à voler des mots de passe, des numéros de carte de crédit et des portefeuilles de crypto-monnaie. Le centre européen de cybercriminalité d’Europol (EC3), le Cybercrime Control Center (JC3) du Japon (JC3) et plusieurs partenaires du secteur privé ont également joué des rôles essentiels dans l’effort, a annoncé Microsoft dans un article de blog.
L’opération de Lumma InfostEaler était si sophistiquée qu’elle fonctionnait comme une entreprise d’abonnement, avec un support client et un slogan marketing joyeux: «Gagner de l’argent avec nous est tout aussi facile.»
Une grève mondiale sur un géant malveillant en tant que service
Lummac2, également connu sous le nom de Lumma, est un logiciel malveillant sophistiqué en tant que service (MAAS) vendu sur des forums souterrains depuis 2022. Il permet aux acteurs de la menace de voler des informations d’identification de connexion, des informations sur les cartes de crédit, des données de portefeuille de crypto-monnaie et d’autres actifs numériques sensibles.
Dans le blog, Microsoft a révélé qu’entre le 16 mars et le 16 mai de cette année, il a détecté plus de 394 000 appareils Windows dans le monde infectés par Lumma. La portée des logiciels malveillants entre les industries et les géographies – des infrastructures critiques et des systèmes éducatifs aux institutions financières et aux communautés de jeux.
« Lumma est devenu un outil incontournable pour les cybercriminels et les opérateurs de ransomwares, y compris le célèbre groupe Octo Tempest », a déclaré Microsoft dans le billet de blog, mettant l’accent sur les capacités évasives du malware et la facilité d’utilisation. Il se propage souvent via des campagnes de phishing, de fausses publicités et une usurpation d’identité de marques de confiance comme Booking.com et Microsoft elle-même.
La déclaration du DOJ a également mentionné que le FBI avait détecté plus de 1,7 million d’instances où Lummac2 avait été utilisé pour récolter des informations d’identification et d’autres informations sensibles.
Microsoft a travaillé avec des partenaires de cybersécurité, notamment ESET, Bitsight, Lumen, CloudFlare, CleanDNS et GMO Registry, pour démanteler l’infrastructure de Lumma.
Plus de 1 300 des domaines saisis ou transférés à Microsoft sont désormais redirigés vers des «gouffres» – des systèmes conçus pour collecter des informations en toute sécurité à partir d’appareils infectés. Cela permet à Microsoft de recueillir des renseignements sur les menaces en cours et d’aider les victimes à se rétablir, tout en empêchant une nouvelle communication de logiciels malveillants.
« Cette action conjointe est conçue pour ralentir la vitesse à laquelle ces acteurs peuvent lancer leurs attaques, minimiser l’efficacité de leurs campagnes et entraver leurs bénéfices illicites », a noté Microsoft.
2 300 domaines neutralisés, infrastructure de commandement saisie
Dans le cadre de l’action en justice déposée auprès du tribunal de district américain du district nord de Géorgie, Microsoft a obtenu l’autorisation de saisir et de perturber une composante centrale de l’écosystème de Lumma: son infrastructure de domaine. Ces domaines ont agi comme des nœuds de communication entre les appareils infectés et les opérateurs du malware.
Selon le communiqué de presse du DOJ, ses mandats non scellés ciblent cinq domaines critiques, appelés «panneaux d’utilisateurs», utilisés par les administrateurs de Lumma et les affiliés pour déployer des logiciels malveillants et gérer des données volées. Les 19 et 20 mai, les agents fédéraux ont réussi les cinq.
Après le retrait, les visiteurs des sites saisis voient désormais un avis de crise du DOJ, ce qui fermait efficacement l’accès aux interfaces de contrôle de Lumma.
Innovation criminelle: la montée et la portée de Lumma
Le créateur de Lumma, connu en ligne sous le nom de «Shamel», opère en Russie et a commercialisé les logiciels malveillants via Telegram et d’autres forums en langue russe. Shamel a marqué le malware avec un logo d’oiseaux et le slogan: «Gagner de l’argent avec nous est tout aussi facile.»
Une interview de novembre 2023 avec un chercheur connu sous le nom de «G0NJXA» a révélé que Lumma avait «environ 400 clients actifs», mettant en évidence la professionnalisation de la cybercriminalité, où des outils comme Lumma imitent les modèles logiciels en tant que service avec des prix à plusieurs niveaux et un support d’affiliation.
Dans l’avant: une vigilance accrue nécessaire
Malgré le retrait, les experts avertissent que Lumma et des opérations similaires de logiciels malveillants en tant que service pourraient refaire surface sous de nouveaux noms ou une infrastructure reconstituée. L’opération souligne la menace persistante posée par les cybercriminels opérant à partir de juridictions qui fournissent un refuge sûr ou manquent de mécanismes d’application solides.
« Cette action rend les choses plus difficiles et plus douloureuses, pour les cybercriminels de fonctionner », a déclaré Bryan Vorndan, directeur adjoint de la cyber-division du FBI, dans le communiqué de presse.
Bien que la perturbation soit une victoire majeure, le paysage des menaces reste volatile. Alors que les attaquants s’adaptent, la communauté mondiale de la cybersécurité doit maintenir sa vigilance et approfondir la collaboration entre les secteur transversal pour se défendre contre un ennemi en constante évolution.
