Spektakularna akcja skierowana przeciw cyberprzestępcom zwróciła uwagę całego świata. Międzynarodowa koalicja, w skład której weszły Europol, FBI, Microsoft oraz inne agencje, przeprowadziła w maju operację mającą na celu zniszczenie infrastruktury Lumma Infostealer – wg ekspertów Check Point Research jednego z najgroźniejszych narzędzi kradzieży danych w historii, którym w ciągu zaledwie 3 miesięcy zainfekowano niemal 400 tys. urządzeń z Windowsem!
Lumma, znana również jako LummaC2, to złośliwe oprogramowanie typu Malware-as-a-Service (MaaS), które od 2022 roku nękało tysiące firm i użytkowników internetu, umożliwiając cyberprzestępcom kradzież danych logowania, informacji finansowych oraz zawartości portfeli kryptowalutowych. Dzięki swojej elastyczności i skuteczności, Lumma stał się ulubionym narzędziem grup takich jak Scattered Spider czy Angry Likho.
Operacja służb specjalnych, przeprowadzona 21 maja 2025 roku, okazał się być bezprecedensową. Przejęto ponad 2 300 domen, zablokowano serwery dowodzenia i kontroli (C2) oraz zniszczono kopie zapasowe. Choć główny serwer, ulokowany w Rosji, pozostał poza zasięgiem organów ścigania, to, dzięki wykorzystaniu luki w systemie iDRAC firmy Dell, udało się go zainfekować i wyczyścić. Wydawało się, że to trudny do przecenienia sukces międzynarodowej współpracy służb i firm technologicznych. Okazuje się, że sytuacja niespodziewanie może się obrócić.
Lumma zejdzie do podziemia?
Zaledwie kilka dni po operacji, deweloper Lummy – znany pod pseudonimem „Shamel” – ogłosił na forach cyberprzestępczych, że „wszystko zostało przywrócone” a działalność wraca do normy. Choć infrastruktura infostealera została poważnie uszkodzona, to jego doskonała reputacja wśród cyberprzestępców wydaje się kluczowym czynnikiem wpływającym na odbudowę narzędzia.
– Akcja służb, to nie tylko techniczne zlikwidowanie infrastruktury, to również walka o reputację — uważa Sergey Shykevich, menedżer grupy ds. wywiadu o zagrożeniach w Check Point Software. – Deweloperzy Lumma próbują sprawiać wrażenie, że wszystko toczy się normalnie, jednak zaufanie w przestępczym podziemiu zaczyna się kruszyć. Najbliższe tygodnie będą kluczowe dla dalszego rozwoju wydarzeń – dodaje ekspert Check Pointa, zauważając, że mimo sukcesu koalicji służb i Microsoftu, infostealer Lumma nie został całkowicie wyeliminowany.
Społeczność cyberprzestępcza bacznie obserwuje rozwój sytuacji, oczekując przywrócenia narzędzia do pełnej funkcjonalności. Niektórzy przewidują, że Lumma może przejść do podziemia, działając w bardziej zamkniętym kręgu, co utrudni jego wykrycie i eliminację.
W obliczu tych wydarzeń, specjaliści ds. cyberbezpieczeństwa podkreślają konieczność stosowania zaawansowanych środków ochrony, takich jak oprogramowanie antywirusowe z funkcjami zapory sieciowej i ochrony danych. Walka z cyberprzestępczością przypomina grę w kotka i myszkę, a zwycięstwo może okazać się pozorne, jeśli nie zostanie poparte ciągłą czujnością i adaptacją do nowych zagrożeń.