- 20,156
- 46
- 8 Ноя 2022
После громкой зачистки Lumma ожил и начал сливать новые пароли
После громкого заявления Microsoft и ФБР о полной ликвидации инфраструктуры вредоносной программы Lumma Stealer, казалось, что её история подошла к концу. Однако события, последовавшие за этой операцией, показали совсем иную картину — похороненный инфостилер восстал буквально через несколько часов после официальной зачистки.
21 мая 2025 года Digital Crimes Unit Microsoft совместно с ФБР, Европолом и Минюстом США провели крупномасштабную операцию : были изъяты и отключены около 2300 доменов, связанных с Lumma Stealer. На месте некоторых сайтов даже появилось официальное уведомление о конфискации, размещённое силами американского бюро расследований. Однако вместо прекращения деятельности вредоносной платформы, операция стала лишь очередным витком эволюции её теневой инфраструктуры.
Уже 22 мая стало ясно, что Lumma продолжает работать. Домен <strong>lummamarket.com</strong> по-прежнему доступен и предоставляет доступ к панели управления, где злоумышленники продолжают продавать похищенные данные. Анализ поисковых данных через FOFA показал, что заражённые системы всё ещё взаимодействуют с активными инстансами Lumma Stealer.
Несмотря на частичную зачистку инфраструктуры, разработчики Lumma почти мгновенно восстановили доступ к новым серверам. По данным WHOIS, несколько новых доменов, включая <strong>writintrvh.top</strong>, <strong>fedor-dostoevskiy.com</strong> и <strong>yuriy-andropov.com</strong>, были зарегистрированы в период с 21 по 23 мая — то есть уже после заявленного разгрома сети.
Кроме того, телеграм-бот Lumma , через которого осуществляется продажа логов, остался полностью функциональным. 22 мая — через день после вмешательства правоохранителей — бот опубликовал свежую выборку данных, похищенных со 95 заражённых машин из 41 страны. Среди утечек — пароли, cookies и иные конфиденциальные данные. По статистике, больше всего утечек приходится на США (5486 паролей), Бразилию (1558) и Колумбию (534). Что касается cookies, лидирует Бразилия (39124), за ней — США (33 тысячи) и Индия (18359).
В перечне стран, чьи пользователи пострадали от действий Lumma Stealer, значатся десятки государств от Германии и Румынии до Танзании и Камбоджи. В открытом доступе также оказались IP-адреса жертв, что подтверждает масштаб продолжающейся атаки.
Факт активности Lumma подтверждает и их собственное заявление на подпольном форуме, в котором команда выразила пренебрежение действиями ФБР, подчеркнув, что «мы всё равно восстановимся». Поддержка нового набора доменов и смена серверной инфраструктуры показывают, что для опытных операторов вредоносного ПО даже масштабные зачистки оказываются временной помехой.
Актуальные индикаторы компрометации (IOC), собранные 22 мая, подтверждают наличие десятков IP-адресов и доменов, к которым подключаются заражённые машины. Среди них — <strong>104.21.72.130</strong>, <strong>172.67.151.14</strong>, <strong>lumnew.fun</strong>, <strong>ancientlum.com</strong> и другие.
Пока Lumma Stealer остаётся в строю, доступ к корпоративной сети через похищенные учётные данные становится не вопросом «взлома», а лишь вопросом покупки и входа. Цена подписки на Lumma Stealer по-прежнему невысока, что делает его особенно привлекательным для киберпреступников, включая операторы программ-вымогателей и APT -группировки.
ФБР удалось нанести удар , но не ликвидировать инфраструктуру полностью. Lumma Stealer снова активен, и пока механизмы распространения работают, говорить о победе над этой платформой явно преждевременно.
После громкого заявления Microsoft и ФБР о полной ликвидации инфраструктуры вредоносной программы Lumma Stealer, казалось, что её история подошла к концу. Однако события, последовавшие за этой операцией, показали совсем иную картину — похороненный инфостилер восстал буквально через несколько часов после официальной зачистки.
21 мая 2025 года Digital Crimes Unit Microsoft совместно с ФБР, Европолом и Минюстом США провели крупномасштабную операцию : были изъяты и отключены около 2300 доменов, связанных с Lumma Stealer. На месте некоторых сайтов даже появилось официальное уведомление о конфискации, размещённое силами американского бюро расследований. Однако вместо прекращения деятельности вредоносной платформы, операция стала лишь очередным витком эволюции её теневой инфраструктуры.
Уже 22 мая стало ясно, что Lumma продолжает работать. Домен <strong>lummamarket.com</strong> по-прежнему доступен и предоставляет доступ к панели управления, где злоумышленники продолжают продавать похищенные данные. Анализ поисковых данных через FOFA показал, что заражённые системы всё ещё взаимодействуют с активными инстансами Lumma Stealer.
Несмотря на частичную зачистку инфраструктуры, разработчики Lumma почти мгновенно восстановили доступ к новым серверам. По данным WHOIS, несколько новых доменов, включая <strong>writintrvh.top</strong>, <strong>fedor-dostoevskiy.com</strong> и <strong>yuriy-andropov.com</strong>, были зарегистрированы в период с 21 по 23 мая — то есть уже после заявленного разгрома сети.
Кроме того, телеграм-бот Lumma , через которого осуществляется продажа логов, остался полностью функциональным. 22 мая — через день после вмешательства правоохранителей — бот опубликовал свежую выборку данных, похищенных со 95 заражённых машин из 41 страны. Среди утечек — пароли, cookies и иные конфиденциальные данные. По статистике, больше всего утечек приходится на США (5486 паролей), Бразилию (1558) и Колумбию (534). Что касается cookies, лидирует Бразилия (39124), за ней — США (33 тысячи) и Индия (18359).
В перечне стран, чьи пользователи пострадали от действий Lumma Stealer, значатся десятки государств от Германии и Румынии до Танзании и Камбоджи. В открытом доступе также оказались IP-адреса жертв, что подтверждает масштаб продолжающейся атаки.
Факт активности Lumma подтверждает и их собственное заявление на подпольном форуме, в котором команда выразила пренебрежение действиями ФБР, подчеркнув, что «мы всё равно восстановимся». Поддержка нового набора доменов и смена серверной инфраструктуры показывают, что для опытных операторов вредоносного ПО даже масштабные зачистки оказываются временной помехой.
Актуальные индикаторы компрометации (IOC), собранные 22 мая, подтверждают наличие десятков IP-адресов и доменов, к которым подключаются заражённые машины. Среди них — <strong>104.21.72.130</strong>, <strong>172.67.151.14</strong>, <strong>lumnew.fun</strong>, <strong>ancientlum.com</strong> и другие.
Пока Lumma Stealer остаётся в строю, доступ к корпоративной сети через похищенные учётные данные становится не вопросом «взлома», а лишь вопросом покупки и входа. Цена подписки на Lumma Stealer по-прежнему невысока, что делает его особенно привлекательным для киберпреступников, включая операторы программ-вымогателей и APT -группировки.
ФБР удалось нанести удар , но не ликвидировать инфраструктуру полностью. Lumma Stealer снова активен, и пока механизмы распространения работают, говорить о победе над этой платформой явно преждевременно.
- Источник новости
- www.securitylab.ru
