Microsoft ha annunciato di aver messo fine a Lumma Stealer, un pericolo malware utilizzato per rubare dati e informazioni.
Microsoft blocca Lumma Stealer
Microsoft, in collaborazione con Europol, United States Department of Justice (DOJ) e partner del settore, ha intrapreso azioni per interrompere il malware più prolifico legato al furto di informazioni: Lumma Stealer. Microsoft ha identificato centinaia di migliaia di computer Windows infettati dal malware a livello globale, inclusi molti in Europa, tra cui anche l’Italia. Lumma viene utilizzato per colpire ogni settore, rappresentando una minaccia diffusa per persone e organizzazioni.
La Digital Crimes Unit (DCU) di Microsoft e i suoi partner internazionali stanno mettendo a repentaglio il principale strumento utilizzato per rubare indiscriminatamente informazioni sensibili personali e aziendali al fine di facilitare la criminalità informatica. Martedì 13 maggio, la DCU di Microsoft ha intentato un’azione legale contro Lumma Stealer (“Lumma”), il malware per il furto di informazioni preferito da centinaia di autori di minacce informatiche. Lumma ruba password, carte di credito, conti bancari e wallet di criptovalute e ha permesso ai criminali di estorcere denaro alle scuole, svuotare conti bancari e interrompere servizi critici.
Con un’ordinanza emessa dal Tribunale Distrettuale degli Stati Uniti del Distretto Settentrionale della Georgia, la DCU di Microsoft ha sequestrato e facilitato la rimozione, la sospensione e il blocco di domini potenzialmente dannosi che costituivano la spina dorsale dell’infrastruttura di Lumma. Il Dipartimento di Giustizia (DOJ) ha contemporaneamente sequestrato la struttura di comando centrale di Lumma e bloccato i marketplace in cui lo strumento veniva venduto ad altri criminali informatici. (EC3) e il Cybercrime Control Center giapponese (JC3) hanno facilitato la sospensione dell’infrastruttura locale di Lumma.
Tra il 16 marzo e il 16 maggio 2025, Microsoft ha identificato oltre 394.000 computer Windows infettati dal malware Lumma a livello globale . Collaborando con le forze dell’ordine e i partner del settore, abbiamo interrotto le comunicazioni tra lo strumento dannoso e le vittime. Inoltre, oltre 1.300 domini sequestrati o trasferiti a Microsoft , inclusi 300 domini sottoposti a misure di sicurezza da parte delle forze dell’ordine con il supporto di Europol , saranno reindirizzati ai sinkhole di Microsoft. Ciò consentirà alla DCU di Microsoft di fornire informazioni fruibili per continuare a rafforzare la sicurezza dei servizi dell’azienda e contribuire a proteggere gli utenti online. Queste informazioni aiuteranno anche i partner del settore pubblico e privato a monitorare, indagare e porre rimedio a questa minaccia. Questa azione congiunta è progettata per rallentare la velocità con cui questi attori possono lanciare i loro attacchi, ridurre al minimo l’efficacia delle loro campagne e ostacolare i loro profitti illeciti tagliando un importante flusso di entrate.
Microsoft ha divulgato anche il nome dello sviluppatore con sede in Russia che si cela dietro il malware, che ne ha fatto un vero e proprio prodotto commerciale con tanto di brand e logo.
Lumma è un Malware-as-a-Service (MaaS), commercializzato e venduto attraverso forum underground almeno dal 2022. Nel corso degli anni, gli sviluppatori hanno rilasciato diverse versioni per migliorarne costantemente le funzionalità.
In genere, l’obiettivo degli operatori di Lumma è monetizzare le informazioni rubate o sfruttarle ulteriormente per vari scopi. Lumma è facile da distribuire, difficile da rilevare e può essere programmato per aggirare determinate difese di sicurezza, il che lo rende uno strumento di riferimento per criminali informatici e autori di minacce online, inclusi prolifici autori di ransomware come Octo Tempest (Scattered Spider). Il malware impersona marchi affidabili, tra cui Microsoft, e viene distribuito tramite e-mail di spear-phishing e malvertising , tra gli altri vettori.
Ad esempio, a marzo 2025, Microsoft Threat Intelligence ha identificato una campagna di phishing che si spacciava per l’agenzia di viaggi online Booking.com. La campagna ha utilizzato diversi malware per il furto di credenziali, tra cui Lumma, per commettere frodi e furti finanziari. Lumma è stato utilizzato anche per colpire community di gaming e sistemi educativi e rappresenta un rischio costante per la sicurezza globale, con report di diverse aziende di sicurezza informatica che ne descrivono l’utilizzo in attacchi contro infrastrutture critiche, come i settori manifatturiero , delle telecomunicazioni , della logistica , della finanza e della sanità .
Lo sviluppatore principale di Lumma ha sede in Russia e usa l’alias online “Shamel”. Shamel commercializza diversi livelli di servizio per Lumma tramite Telegram e altri forum di chat in lingua russa. A seconda del servizio acquistato, un criminale informatico può creare versioni personalizzate del malware, aggiungere strumenti per nasconderlo e distribuirlo e tracciare le informazioni rubate tramite un portale online.
In un’intervista con il ricercatore di sicurezza informatica “g0njxa” nel novembre 2023, Shamel ha dichiarato di avere “circa 400 clienti attivi”. Dimostrando l’evoluzione della criminalità informatica fino a incorporare pratiche commerciali consolidate, ha creato di fatto un marchio Lumma, utilizzando un logo distintivo raffigurante un uccello per commercializzare il suo prodotto, definendolo un simbolo di “pace, leggerezza e tranquillità” e aggiungendo lo slogan “guadagnare con noi è altrettanto facile”.
La capacità di Shamel di operare apertamente sottolinea quanto sia importante per i paesi di tutto il mondo affrontare la questione dei porti sicuri e promuovere la rigorosa applicazione degli obblighi di due diligence previsti dal diritto internazionale.
Cosa ne pensate della faccenda? Scrivete la vostra opinione nei commenti.
Articolo di Windows Blog Italia
Fonte | Microsoft
