Mezinárodní operace vedená Microsoftem a americkým ministerstvem spravedlnosti zasadila významný úder jednomu z nejpopulárnějších infostealer malwarů současnosti. Akce proti Lumma Stealer představuje rozsáhlý zásah proti kyberkriminálnímu ekosystému, který od roku 2022 způsobil škody v řádu milionů dolarů. Klíčovou roli v odhalení nových taktik útočníků sehrála společnost Cato Networks, jejíž výzkumníci publikovali detailní analýzu kampaní využívajících cloudové infrastruktury.
Microsoft Digital Crimes Unit ve spolupráci s Europolem a japonským JC3 zabavil 2300 domén tvořících páteř infrastruktury Lumma Stealer, zatímco americké ministerstvo spravedlnosti současně zabavilo pět klíčových domén sloužících jako řídící panely pro administrátory malwaru. Jen za dva měsíce mezi březnem a květnem 2025 bylo identifikováno přes 394 tisíc nakažených Windows počítačů po celém světě. FBI odhaduje, že od vzniku malwaru bylo zaznamenáno celkem 1,7 milionu případů krádeže dat včetně bankovních údajů, kryptoměnových peněženek a přihlašovacích údajů.
Výzkumníci z Cato Networks odhalili znepokojivou evoluci taktik spojených s Lumma Stealer. Zdokumentovali, jak ruští hackeři začali systematicky zneužívat důvěryhodné cloudové platformy jako Oracle Cloud Infrastructure, Scaleway a Tigris Object Storage pro hostování škodlivého obsahu. Tato technika nazývaná Living-Off-The-Cloud (LOTC) představuje značnou výzvu pro bezpečnostní týmy, protože je obtížně detekovatelná díky využívání legitimních služeb.
Etay Maor, hlavní bezpečnostní stratég Cato Networks, prohlásil, že že uvidíme více LOTC útoků, což bude pro organizace výzva, protože tyto útoky jsou těžko detekovatelné, jelikož využívají legitimní cloudové služby. Podle analýzy této společnosti útočníci cílí na privilegované uživatele pomocí falešných reCAPTCHA stránek, které je nutí spustit škodlivé PowerShell příkazy. Výzkum Cato Networks také odhalil ruské komentáře v kódu útočníků, což potvrzuje podezření na jejich původ.
Malware jako služba
Lumma Stealer funguje jako Malware-as-a-Service s cenovou strukturou od 250 do 20 000 dolarů podle úrovně služeb. Hlavní vývojář známý pod přezdívkou Shamel operuje z Ruska a distribuuje malware přes darkwebové fóra a Telegram kanály. Malware je schopen ukrást hesla, platební karty, bankovní účty, kryptoměnové peněženky včetně seed frází a další citlivá data z prohlížečů.
Cato Networks proaktivně chránila své zákazníky před těmito útoky prostřednictvím své MDR služby, která blokovala pokusy o přesměrování na falešné reCAPTCHA stránky pomocí vysoce spolehlivých IPS pravidel ještě před interakcí uživatelů. Společnost také zdokumentovala reakce cloudových poskytovatelů na hlášení o zneužití jejich služeb. Zatímco Tigris potvrdil odstranění škodlivého obsahu a publikoval pokyny pro boj proti zneužívání platformy a Scaleway podnikl kroky k eliminaci falešných stránek, Oracle na dotazy dosud nereagoval.
Etay Maor doporučuje pro boj proti LOTC útokům organizacím implementovat OODA loop (observe, orient, decide, act) přístup. Ten zahrnuje pozorování veškerého síťového provozu, orientaci pro získání komplexního přehledu a kontextualizaci informací, rozhodování o jednotné bezpečnostní politice a následné prosazení této politiky napříč všemi zařízeními v rámci zero trust architektury.
Experti varují, že vzhledem k ruskému původu operátorů a skutečnosti, že Rusko je země bez extradičních smluv, bude obtížné zatknout osoby odpovědné za provoz Lumma Stealer. Etay Maor z Cato Networks předpokládá, že je více než pravděpodobné rychlé obnovení řídicí struktury Lumma pod jinou architekturou.
