Dzięki międzynarodowej operacji, udało się poważnie zakłócić działanie Lumma Stealer, jednego z najgroźniejszych narzędzi kradnących dane z komputerów. Cyberprzestępcy stojący za złośliwym zagrożeniem niestety działali jak dobrze zorganizowana firma. Z danych ESET wynika, że zagrożenie atakowało użytkowników na całym świecie, w tym intensywnie w Polsce – nasz kraj był drugim najczęściej atakowanym w Europie i czwartym na świecie.
Złośliwe oprogramowanie Lumma Stealer, którego operatorzy działali niemal jak legalny biznes w modelu subskrypcyjnym, przez wiele miesięcy infekowało komputery na całym świecie, także w Polsce. Przestępcy podszywali się, rozsyłali fałszywe wiadomości i wykorzystywali zainfekowane programy. Lumma Stealer to jeden z najgroźniejszych tzw. infostealerów, czyli programów kradnących dane z komputerów i przeglądarek. W ciągu ostatnich dwóch lat atakował systemy użytkowników prywatnych i firmowych, wykradając dane logowania, hasła czy zapisane dane formularzy, które mogły być dalej sprzedawane kolejnym cyberprzestępcom. Co gorsza, był oferowany w sieci niemal jak legalna usługa w modelu subskrypcyjnym – przestępcy płacili miesięczne opłaty, by mieć dostęp do nowych wersji i infrastruktury do wyprowadzania danych.
Polska wśród głównych celów ataków
Według danych telemetrycznych ESET, od lipca 2024 roku Polska była czwartym najczęściej atakowanym przez Lumma Stealer krajem na świecie i drugim w Europie. Wyprzedziły nas tylko Meksyk, Hiszpania i USA. Ataki wycelowane były zarówno w użytkowników indywidualnych, jak i pracowników firm.
Sukces globalnej operacji
Za koordynację międzynarodowej operacji przeciw Lumma Stealer odpowiadała firma Microsoft, a udział w niej wzięły m.in. ESET, Cloudflare, BitSight, CleanDNS, Lumen oraz japońskie i europejskie instytucje. Celem było unieszkodliwienie infrastruktury Lumma Stealer, w tym tysięcy serwerów wykorzystywanych do komunikacji i przesyłu danych. W rezultacie botnet – czyli sieć złośliwych komputerów – został w dużej mierze sparaliżowany.
ESET analizował tysiące próbek
Analitycy ESET odegrali kluczową rolę w operacji, badając dziesiątki tysięcy próbek złośliwego oprogramowania. Dzięki temu udało się zidentyfikować serwery, narzędzia i mechanizmy wykorzystywane przez cyberprzestępców.
– Lumma Stealer został stworzony i był rozwijany niemal jak komercyjny produkt: regularnie aktualizowano jego kod, wprowadzano nowe funkcje, a cała infrastruktura była na bieżąco utrzymywana. To pokazuje, że mamy do czynienia z bardzo sprofesjonalizowanymi grupami przestępczymi. Dzięki pracy analityków ESET udało się wyśledzić i zablokować wiele kluczowych elementów tego systemu – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.