Schadsoftware
"Lumma Stealer": Europol und Microsoft zerschlagen international aktive Malware
Eine internationale Kooperation unter Führung von Europol und Microsoft hat erfolgreich die Infrastruktur der gefährlichen Schadsoftware Lumma Stealer zerschlagen.
Internationalen Strafverfolgern ist ein großer Schlag gegen organisierte Cyberkriminalität gelungen: Die Infrastruktur der "Lumma Stealer"-Malware wurde zerschlagen. Microsoft führte die Operation im Verbund mit Europol und dem Sicherheitsdienst ESET an und nutzte eine gerichtlich erlas...
Internationalen Strafverfolgern ist ein großer Schlag gegen organisierte Cyberkriminalität gelungen: Die Infrastruktur der "Lumma Stealer"-Malware wurde zerschlagen. Microsoft führte die Operation im Verbund mit Europol und dem Sicherheitsdienst ESET an und nutzte eine gerichtlich erlassene Verfügung, um die Abschaltung, Sperrung und Beschlagnahmung der schädlichen Domains zu ermöglichen.
Hierfür übernahm Microsoft die Kontrolle über rund 2.300 Domains, die mit der Lumma-Infrastruktur in Verbindung standen. Der Datenverkehr wurde teilweise blockiert oder in sogenannte Sinkholes umgeleitet, wodurch die Kommunikation zwischen der Malware und den infizierten Systemen unterbrochen wurde. Zusätzlich wurden über 1.300 Domains beschlagnahmt oder übertragen, davon 300 vollständig unerreichbar gemacht. Parallel dazu beschlagnahmte das US-Justizministerium das zentrale Kontrollpanel von Lumma Stealer sowie fünf zugehörige Domains.
Die Beteiligung von ESET war dabei besonders wichtig für den Erfolg der Operation. Die automatisierten Systeme des Unternehmens hatten über Jahre hinweg zehntausende Lumma-Samples verarbeitet, um zentrale Elemente wie C&C-Server und Affiliate-Identifikatoren zu extrahieren. Diese langfristige Überwachung ermöglichte es den Forschern, Aktivitätsmuster zu erkennen, verschiedene Affiliate-Gruppen zu clustern und Entwicklungsupdates zu verfolgen.
Lumma Stealer, auch bekannt als LummaC2, etablierte sich seit 2022 als einer der weltweit am weitesten verbreiteten Infostealer. Diese spezielle Art von Schadsoftware zielt darauf ab, sensible Daten von infizierten Computern zu sammeln und an Cyberkriminelle zu übertragen. Die Malware konzentrierte sich dabei auf besonders wertvolle Informationen wie Kryptowährungs-Wallets, Browser-Passwörter, Zwei-Faktor-Authentifizierungsdaten und Finanzdaten.
Die Verbreitung der Malware erfolgte über verschiedene Methoden. Cyberkriminelle nutzten Phishing-E-Mails, die sich als vertrauenswürdige Unternehmen wie Booking.com ausgaben, gefälschte CAPTCHA-Verifikationen, bösartige Online-Werbung und sogenannte "Drive-By-Downloads". Alternativ wurden per "Clickfix"-Methode Nutzer durch gefälschte Fehlermeldungen dazu verleitet, schädliche Software herunterzuladen.
Die geografische Verteilung der Infektionen zeigt ein klares Muster: Deutschland und die benachbarten europäischen Länder waren überproportional stark betroffen. Das FBI registrierte in der Vergangenheit mindestens 1,7 Millionen Fälle von Informationsdiebstahl, die auf Lumma-Infektionen zurückgeführt werden konnten.
