Исследователи из компании Check Point сообщают, что разработчики инфостилера Lumma стараются возобновить деятельность и вести дела в обычном режиме, после того как правоохранители сообщили о захвате тысяч доменов и части инфраструктуры малвари.
Напомним, что в середине мая 2025 года правоохранительные органы и ИБ-специалисты конфисковали около 2300 доменов, связанных с деятельностью Lumma.
В скоординированной атаке на инфраструктуру малвари приняли участие компании Microsoft, Cloudflare, ESET, CleanDNS, Bitsight, Lumen, GMO Registry и международная юридическая фирма Orrick.
Одновременно с этим Министерство юстиции США наложило арест на пять доменов, связанных с панелями управления Lumma, а Европейский центр по борьбе с киберпреступностью (EC3) при Европоле и Японский центр по борьбе с киберпреступностью (JC3) помогли конфисковать инфраструктуру Lumma, расположенную в Европе и Японии.
Тогда подчеркивалось, что более чем для 1300 доменов, конфискованных или переданных компании Microsoft, будет осуществлен sinkhole. Таким образом специалисты компании планировали собрать и предоставлять полезную информацию партнерам из государственного и частного секторов.
Как сообщали разработчики Lumma, власти не смогли конфисковать основной сервер стилера из-за его географического положения. Однако они успешно проникли на него, используя ранее неизвестную уязвимость в Integrated Dell Remote Access Controller (iDRAC). В итоге правоохранители смогли очистить сервер и стереть резервные копии.
Хотя разработчики подчеркивают, что они не регистрировали IP-адреса своих клиентов, правоохранительные органы создали фишинговую страницу входа, которая собирала учетные данные и цифровые отпечатки клиентов Lumma. Также на страницу был внедрен JavaScript-сниппет, который пытался получить доступ к веб-камерам посетителей.
Как теперь сообщают исследователи Check Point, операция правоохранительных органов определенно создала трудности для стоящей за Lumma хак-группы, но стилер вовсе не уничтожен. Так, по данным специалистов, управляющие серверы группировки продолжают работать, количество украденной Lumma информации продолжает расти, и эти данные по-прежнему продаются на теневых маркетплейсах.
«Специалисты Check Point Research наблюдают значительные усилия со стороны разработчиков Lumma, направленные на то, чтобы полностью восстановить деятельность по краже информации и вести бизнес в обычном режиме», — сообщают исследователи.
Отмечается, что атака властей на инфраструктуру Lumma породила многочисленные дискуссии на хакерских форумах, участники которых выражают неуверенность в будущем Lumma. При этом утверждается, что никто из связанных с Lumma разработчиков не был арестован.
По мнению аналитиков, дальнейшая судьба малвари во многом зависит от психологических и репутационных факторов, поскольку сейчас технические возможности Lumma ограничены, но стилер не уничтожен.
«Может оказаться, что посеянные среди партнеров и клиентов Lumma подозрения будет не так просто преодолеть», — допускают в Check Point.
