дата публикации

Правоохранительные органы конфисковали домены, связанные с вредоносным ПО LummaC2, крадущим сид-фразы

источник

Правоохранительные органы конфисковали ключевую инфраструктуру, связанную с LummaC2, операцией с вирусами, которая поразила миллионы жертв по всему миру, в частности, путем кражи фраз для доступа к крипто-кошелькам, о чем сообщило Министерство юстиции США в среду. Конфискации стали частью координированной международной кампании, к которой присоединились Министерство юстиции, Европол, Японский центр по борьбе с киберпреступностью, Microsoft и частные партнеры в области кибербезопасности. После первоначальной конфискации двух вебсайтов Министерством юстиции 19 мая администрация Lumma пыталась создать три новые домена, которые были конфискованы уже на следующий день. Microsoft обнаружила более 394 000 заражений систем Windows по всему миру в период с марта по май 2025 года.

В результате гражданского иска, поданного ранее в этом месяце, подразделение цифровых преступлений Microsoft конфисковало и отключило более 2300 доменов, которые поддерживали инфраструктуру Lumma. "Вирусы, такие как LummaC2, используются для кражи конфиденциальной информации, такой как логины пользователей, с миллионов жертв, что способствует ряду преступлений, включая мошеннические банковские переводы и кражи криптовалюты," - заявил Мэттью Р.

Галеотти, глава криминального отдела Министерства юстиции. Снижение популярности вирусов Вирусы уже не так популярны, как раньше. Согласно Глобальному отчету о угрозах от CrowdStrike на 2025 год, за последние пять лет наблюдается сдвиг к атакам без вирусов, так как злоумышленники переходят на менее заметные методы, такие как фишинг, социальное манипулирование, услуги брокеров доступа и злоупотребление доверительными отношениями. В прошлом году 79% выявленных атак были без вирусов, в то время как в 2019 году этот показатель составлял 40%. Однако это не означает, что не существует покупателей для инструментов "вирус как услуга", таких как Lumma, которые позволяют относительно неразвитыми злоумышленникам получать доступ к расширенным возможностям. ФБР зафиксировало использование Lumma как минимум в 1.7 миллионах попыток кражи. Крипто-кошельки - распространенные цели.

Ранее в этом месяце исследователи обнаружили фальшивые ИИ-роботы, распространяющие вредоносное ПО для криптотрейдеров, в то время как Inferno Drainer украл более 9 миллионов долларов из кошельков за последние шесть месяцев. Эволюция краж Запущенный примерно в 2022 году, Lumma эволюционировал через несколько итераций и контролируется российским разработчиком, известным в интернете как "Shamel". Открыто функционируя через Telegram и русскоязычные форумы, Shamel продает Lumma в пакетах услуг, которые позволяют покупателям настраивать, распространять и отслеживать украденные данные. Одной из заметных кампаний с использованием Lumma стали фальшивые электронные письма, имитирующие Booking.com, которые использовались для кражи логинов и пустых банковских счетов. Вирус также был связан с атаками на образовательные системы, игровые сообщества и критически важные секторы инфраструктуры, включая здравоохранение и логистику.

Его невидимость и гибкость сделали его любимым инструментом среди высокопрофильных групп-вымогателей, таких как Octo Tempest. Microsoft заявила, что продолжает отслеживать новые варианты Lumma, предупреждая о том, что вредоносное ПО остается серьезной угрозой, несмотря на то, что его основная инфраструктура разбирается.