Lumma Stealer-malware maakt een opmerkelijke comeback na ontmanteling in mei
In een spannende wending in de wereld van cybercriminaliteit heeft de Lumma Stealer-malware zich snel hersteld na een grootschalige politieoperatie die deze voorjaar plaatsvond. Dit voorjaar slaagden verschillende politiediensten erin om de operaties van de Lumma-infostealer met succes te verstoren. Ondanks deze inspanningen lijkt de impact van deze actie echter van korte duur te zijn, zoals blijkt uit recente meldingen van Trend Micro.
In mei werden maar liefst 2.300 domeinen en cruciale onderdelen van de Lumma-infrastructuur in beslag genomen. Hoewel deze actie destijds een gevoel van overwinning gaf, was het moeilijk om de lange-termijngevolgen in te schatten. Kort na deze ‘inval’ meldde Check Point al dat de ontwikkelaars van Lumma hun cybercrime-operatie opnieuw aan het opbouwen waren. En dat blijkt nu te kloppen: in juni maakte Lumma Stealer zijn comeback.
Volgens Trend Micro zijn er duidelijke tekenen van een opleving in de activiteiten van Lumma. Hun team heeft geconstateerd dat de infrastructuur van Lumma al ‘binnen enkele weken na de sluiting’ weer actief was. De laatste week van mei was er nog nauwelijks activiteit te bespeuren, met slechts één nieuw Command and Control-domein (C2). Maar in de weken daarna steeg het aantal nieuwe domeinen exponentieel, met een piek van maar liefst 451 nieuwe C2-domeinen in de week van 8 tot 14 juni.
Om hun criminele activiteiten te maskeren, heeft Lumma nu zijn toevlucht genomen tot “alternatieve cloudproviders”, waaronder het Russische Selectel. Dit stelt hen in staat om de handhaving door westerse autoriteiten te omzeilen, terwijl deze clouddiensten als legitiem worden beschouwd.
Lumma-aanvallen via verschillende kanalen
De analyses van Trend Micro tonen aan dat de activiteiten van Lumma “bijna zijn teruggekeerd” naar het niveau van vóór de politie-inval. De cybercriminelen maken momenteel gebruik van vier verschillende kanalen voor hun aanvallen:
- Malafide software: De infostealer wordt verspreid via onbetrouwbare software of keygens. Gebruikers worden naar misleidende websites geleid, waar Lumma’s Traffic Detection System de systemen registreert en de Lumma Downloader doorstuurt.
- ClickFix: Via malafide captcha-systemen of valse updatepagina’s proberen de hackers gebruikers te misleiden om PowerShell-commando’s uit te voeren die Lumma op hun systemen installeren. Omdat deze acties door de gebruiker zelf worden uitgevoerd en Lumma in het geheugen wordt geladen, is detectie bijzonder moeilijk.
- GitHub: Op GitHub worden diverse AI-gegenereerde ‘game cheats’ verspreid, met Lumma-payloads zoals TempSpoofer.
- Sociale media: Via sociale media wordt malafide software gepromoot, vaak via legitiem ogende sites zoals sites.google.com.
Wat is Lumma Stealer?
Lumma Stealer is één van de grootste infostealer-operaties ter wereld. Het opereert als een Malware-as-a-Service-platform (MaaS), waarbij hackers de infostealer verkopen aan andere criminele groeperingen. De infostealers zijn ontworpen om gegevens van slachtoffers te stelen, waaronder inloggegevens, bankinformatie en andere persoonlijke data die kunnen worden misbruikt voor financiële doeleinden. Regelmatig worden infostealers ook ingezet om toegang te krijgen tot sociale media-accounts.
De winstgevendheid van MaaS-operaties is enorm. Dat de malware zo snel na de politie-inval weer actief was, is dan ook weinig verrassend. Tenzij de autoriteiten erin slagen om de operatie verder te ontmantelen – bijvoorbeeld door sleutelfiguren te arresteren – zullen de hackers alles op alles zetten om hun infrastructuur keer op keer opnieuw op te bouwen. Aangezien deze groep vanuit Rusland opereert, zijn ze echter (bijna) ongrijpbaar voor westerse autoriteiten.
De strijd tegen cybercriminaliteit
De comeback van Lumma Stealer benadrukt de constante strijd tussen cybercriminelen en wetshandhavingsinstanties. Het is een spel van kat en muis, waarbij de criminelen zich steeds weer aanpassen en innoveren om aan de greep van de autoriteiten te ontsnappen. Het is een uitdaging die vraagt om voortdurende waakzaamheid en samenwerking tussen landen en organisaties.
Als maatschappij is het essentieel om ons bewust te zijn van deze dreigingen en om onze digitale veiligheid serieus te nemen. Het beschermen van persoonlijke gegevens en het herkennen van de signalen van cybercriminaliteit zijn cruciale stappen in deze voortdurende strijd. Samen kunnen we werken aan een veiligere digitale wereld, waarin de risico’s van malware zoals Lumma Stealer tot het verleden behoren.
De technologie evolueert voortdurend, en met de juiste kennis en tools kunnen we ons wapenen tegen de gevaren die op de loer liggen. Laten we ons verenigen in deze strijd en onze digitale toekomst veiligstellen.
