SCAN YOUR SITE

Lumma Stealer: smantellare l’economia del crimine informatico attraverso azioni coordinate

Il 13 maggio 2025 segna una svolta significativa nella lotta globale alla criminalità informatica. Microsoft, tramite la sua Digital Crimes Unit (DCU), insieme a partner internazionali e forze dell’ordine, ha intrapreso un’azione decisa contro Lumma Stealer, uno dei malware per il furto di informazioni più utilizzati e diffusi negli ultimi anni. Questo intervento dimostra quanto sia fondamentale interrompere l’accesso ai servizi Malware-as-a-Service (MaaS) per disarticolare le economie criminali che prosperano nel cyber spazio.

A qualche settimana dall’intervento congiunto di Microsoft e delle forze dell’ordine per smantellare la principale rete di distribuzione di Lumma stealer, le voci di un suo ripristino sono già presenti sulla rete. Gli sviluppatori di Lumma affermano già di essere di nuovo operativi. Diversi criminali informatici hanno pubblicato le loro conversazioni su Telegram in cui lo sviluppatore affermava che nessuno legato a Lumma era stato arrestato e che “tutto è stato ripristinato e stiamo lavorando normalmente”

Presumibilmente dicerie o un tentativo di mantenere mercato, in realtà già compromesso ed in erosione a favore di altri prodotti, quali l’emergente Acreed, che analizzeremo prossimamente.

Fonti:

https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool


https://blog.checkpoint.com/security/lumma-infostealer-down-but-not-out

https://therecord.media/acreed-infostealer-arises-after-lumma-takedown

Ma che cos’è Lumma Stealer?

Lumma è un infostealer venduto come servizio su forum underground, attivo almeno dal 2022. Il malware consente ai criminali informatici di rubare password, dati bancari, wallet di criptovalute, cookie e molto altro ancora. Estremamente modulare, Lumma può essere personalizzato, offuscato e aggiornato con strumenti avanzati per eludere i sistemi di sicurezza. Il tutto è reso disponibile tramite pacchetti di abbonamento con prezzi variabili da 250 a 20.000 dollari.

Nel tempo, è diventato uno strumento prediletto per gruppi ransomware come Octo Tempest (Scattered Spider), truffatori finanziari, attori APT e criminali opportunisti. L’accessibilità e la professionalizzazione della sua offerta hanno permesso a chiunque, anche con competenze tecniche minime, di lanciare campagne mirate su larga scala.

L’azione di Microsoft e dei partner globali

Con l’autorizzazione del Tribunale Distrettuale della Georgia, Microsoft ha sequestrato oltre 2.300 domini dannosi collegati all’infrastruttura operativa di Lumma. Parallelamente, il Dipartimento di Giustizia statunitense ha colpito i canali di distribuzione, mentre Europol (EC3) e il JC3 giapponese hanno bloccato componenti locali dell’infrastruttura.

L’intervento è stato supportato da aziende come ESET, BitSight, Cloudflare, Lumen e CleanDNS, che hanno rapidamente disabilitato i servizi di rete utilizzati da Lumma. I domini sequestrati verranno ora reindirizzati verso sinkhole di Microsoft, consentendo analisi forensi, identificazione di sistemi infetti e la generazione di intelligence per prevenire nuovi attacchi.

Perché è cruciale contrastare i MaaS

L’efficacia dei MaaS come Lumma deriva dalla facilità con cui permettono ai criminali di “comprare l’infrastruttura del crimine”, abbattendo le barriere di ingresso. Questa dinamica rende il panorama delle minacce sempre più frammentato e difficile da contenere.

Bloccare strumenti come Lumma significa:

  • Spezzare la catena di valore della criminalità informatica;
  • Rendere costosa e lenta la ricostruzione dell’infrastruttura malevola;
  • Disincentivare nuovi attori dall’ingresso nel mercato illecito;
  • Ridurre l’impatto sugli utenti finali e sulle infrastrutture critiche.

Come dimostrato da Microsoft, un singolo intervento ben orchestrato può mettere fuori uso migliaia di operazioni fraudolente.

Il ruolo della cooperazione pubblico-privato

Il successo di questa operazione evidenzia quanto la collaborazione tra aziende tecnologiche, enti governativi e organizzazioni internazionali sia essenziale per contrastare le minacce globali. Nessun attore, da solo, può affrontare una rete criminale distribuita, resiliente e in continua evoluzione.

Questa alleanza rappresenta un modello virtuoso di intervento, in cui la condivisione di intelligence, capacità operative e strumenti legali può produrre risultati tangibili e scalabili.

La sfida dei “porti sicuri” digitali

Il fondatore di Lumma, noto online come Shamel, opera liberamente dalla Russia, commercializzando il suo malware tramite Telegram e forum in lingua russa. Questo sottolinea una delle principali sfide geopolitiche attuali: la necessità di affrontare i porti sicuri digitali e applicare con rigore i principi di due diligence previsti dal diritto internazionale.

Finché esisteranno territori in cui i cybercriminali possono operare indisturbati, qualsiasi sforzo sarà parziale. Serve una spinta diplomatica e normativa globale per rafforzare la cooperazione e colmare le lacune giurisdizionali.

L’eliminazione (temporanea) di Lumma è un traguardo importante, ma non definitivo. I criminali si adatteranno, troveranno nuove strade, e nuovi servizi sorgeranno. Tuttavia, dimostrare che è possibile colpire il cuore dell’economia del cybercrimine invia un messaggio chiaro: l’impunità non è garantita.

La guerra informatica è fatta di resistenza, collaborazione e capacità di reazione. Solo con un fronte unito tra settore pubblico e privato si potrà realmente contrastare la proliferazione degli strumenti as-a-service che alimentano il crimine online.

#Cybersecurity #Lummastealer #Cybernews