Jena - Der europäische IT-Sicherheitsanbieter ESET hat maßgeblich an einer international koordinierten Operation zur Zerschlagung der Schadsoftware "Lumma Stealer" mitgewirkt. Die Malware galt in den vergangenen zwei Jahren als einer der am weitesten verbreiteten Infostealer weltweit. Ziel der Aktion war es, die gesamte Infrastruktur der Schadsoftware – insbesondere alle bekannten Command&Control-Server – auszuschalten. Das dadurch entstandene Botnetz wurde weitgehend funktionsunfähig gemacht. Angeführt wurde die Aktion von Microsoft in Zusammenarbeit mit internationalen Partnern wie BitSight, Lumen, Cloudflare, CleanDNS und GMO Registry. Auch europäische und japanische Strafverfolgungsbehörden wie Europol und das Japan Cybercrime Control Center (JC3) waren beteiligt. Eine technische Analyse ist auf WeLiveSecurity.com verfügbar.
"ESETs automatisierte Systeme haben zehntausende Samples von Lumma Stealer verarbeitet, um zentrale Elemente wie C&C-Server und Affiliate-Identifikatoren zu extrahieren. Dadurch konnten wir die Aktivitäten des Infostealers kontinuierlich überwachen, Affiliates clustern, Entwicklungsupdates verfolgen und mehr", sagt ESET-Forscher Jakub Tomanek, der Lumma Stealer überwacht und untersucht hat. "Infostealer-Malwarefamilien wie Lumma Stealer sind typischerweise nur der Anfang viel verheerenderer Angriffe. Gestohlene Zugangsdaten sind eine wertvolle Ware in der Cybercrime-Unterwelt und werden von Initial Access Brokern an verschiedene andere Cyberkriminelle verkauft", ergänzt Tomanek. Lumma Stealer war in den vergangenen zwei Jahren einer der am weitesten verbreiteten Infostealer.Kontinuierliche Weiterentwicklung des InfostealersDie Entwickler von Lumma Stealer haben die Malware aktiv weiterentwickelt und gepflegt. ESET hat regelmäßig Code-Updates festgestellt, die von kleineren Bugfixes bis hin zum vollständigen Austausch der Verschlüsselung und Aktualisierungen des Netzwerkprotokolls reichen. Auch die Betreiber des Botnetzes haben die gemeinsame Netzwerkinfrastruktur aktiv gewartet. Zwischen dem 17. Juni 2024 und dem 1. Mai 2025 hat ESET insgesamt 3.353 einzigartige C&C-Domains beobachtet. Das entspricht durchschnittlich etwa 74 neuen Domains pro Woche. Diese fortlaufende Entwicklung unterstreicht die erhebliche Bedrohung durch Lumma Stealer und hebt die Bedeutung seiner Zerschlagung hervor.Malware-as-a-Service-ModellBei Lumma Stealer handelt es sich um "Malware as a Service", bei dem Kunden eine monatliche Gebühr zahlen, um die neuesten Malware-Versionen und die für die Datenexfiltration notwendige Netzwerkinfrastruktur zu erhalten. Das gestaffelte Abonnementmodell reicht von 250 bis 1.000 US-Dollar pro Monat, jeweils mit zunehmend ausgefeilten Funktionen. Die Betreiber von Lumma Stealer haben zudem im Messenger Telegram einen Marktplatz für Affiliates geschaffen, um gestohlene Daten ohne Zwischenhändler zu verkaufen. Hierzu wurde sogar ein Bewertungssystem integriert, mit dem Käufer die Qualität der Informationen beurteilen können. Häufige Verbreitungsmethoden des Infostealers sind Phishing, gecrackte Software und andere Malware-Downloader. Lumma Stealer setzt wenige, aber effektive Anti-Emulations-Techniken ein, die eine Analyse so schwierig wie möglich machen. Diese Techniken dienen dazu, eine Erkennung zu umgehen und die Arbeit von Sicherheitsforschern zu erschweren.Weltweite Kooperation bei der ZerschlagungMicrosofts Digital Crimes Unit hat mithilfe einer gerichtlichen erlassenen Verfügung die Abschaltung, Sperrung, Beschlagnahmung und Blockierung der schädlichen Domains ermöglicht, die das Rückgrat der Lumma Stealer-Infrastruktur bildeten ( https://aka.ms/DCU-Lumma ). Zeitgleich hat das US-Justizministerium auch das Kontrollpanel von Lumma Stealer beschlagnahmt und den Lumma Stealer-Marktplatz ins Visier genommen – und damit die Käufer der Lumma Stealer-Malware. Dies geschah in Koordination mit dem Europäischen Zentrum für Cyberkriminalität (EC3) von Europol sowie dem japanischen Cybercrime Control Center (JC3). Sie ermöglichten die Abschaltung der lokal betriebenen Lumma Stealer-Infrastruktur."Diese globale Störungsoperation wurde durch unser langfristiges Tracking von Lumma Stealer möglich. Die von Microsoft geleitete Aktion zielte darauf ab, alle bekannten Lumma Stealer C&C-Domains zu beschlagnahmen und die Exfiltrationsinfrastruktur von Lumma Stealer außer Betrieb zu setzen. ESET wird weiterhin andere Infostealer beobachten und die Aktivitäten von Lumma Stealer nach dieser Aktion weiterverfolgen", schließt Tomanek ab.Einen Überblick über das Lumma Stealer-Ökosystem, eine technische Analyse und einen Einblick in die Entwicklung der wichtigsten statischen und dynamischen Eigenschaften von Lumma Stealer, gibt es im aktuellen ESET Research Blogpost auf WeLiveSecurity ( https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-lumma-stealer ).(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Christian Lueg Tel.: +49 3641 3114 269 E-Mail: christian.lueg@eset.de Website: www.eset.de