28/05/25
После громкого заявления Microsoft и ФБР о полной ликвидации инфраструктуры вредоносной программы Lumma Stealer, казалось, что её история подошла к концу. Однако события, последовавшие за этой операцией, показали совсем иную картину.
21 мая 2025 года Digital Crimes Unit Microsoft совместно с ФБР, Европолом и Минюстом США провели крупномасштабную операцию, напоминает Securitylab: были изъяты и отключены около 2300 доменов, связанных с Lumma Stealer. На месте некоторых сайтов даже появилось официальное уведомление о конфискации, размещённое силами американского бюро расследований. Однако вместо прекращения деятельности вредоносной платформы, операция стала лишь очередным витком эволюции её теневой инфраструктуры.
Уже 22 мая стало ясно, что Lumma продолжает работать. Домен lummamarket.com по-прежнему доступен и предоставляет доступ к панели управления, где злоумышленники продолжают продавать похищенные данные. Анализ поисковых данных через FOFA показал, что заражённые системы всё ещё взаимодействуют с активными инстансами Lumma Stealer.
Несмотря на частичную зачистку инфраструктуры, разработчики Lumma почти мгновенно восстановили доступ к новым серверам. По данным WHOIS, несколько новых доменов, включая writintrvh.top, fedor-dostoevskiy.com и yuriy-andropov.com, были зарегистрированы в период с 21 по 23 мая — то есть уже после заявленного разгрома сети.
Кроме того, телеграм-бот Lumma, через которого осуществляется продажа логов, остался полностью функциональным. 22 мая — через день после вмешательства правоохранителей — бот опубликовал свежую выборку данных, похищенных со 95 заражённых машин из 41 страны. Среди утечек — пароли, cookies и иные конфиденциальные данные. По статистике, больше всего утечек приходится на США (5486 паролей), Бразилию (1558) и Колумбию (534). Что касается cookies, лидирует Бразилия (39124), за ней — США (33 тысячи) и Индия (18359).
В перечне стран, чьи пользователи пострадали от действий Lumma Stealer, значатся десятки государств от Германии и Румынии до Танзании и Камбоджи. В открытом доступе также оказались IP-адреса жертв, что подтверждает масштаб продолжающейся атаки.
Деятельность Lumma подтверждает и их собственное заявление на подпольном форуме, в котором команда выразила пренебрежение действиями ФБР, подчеркнув, что «мы всё равно восстановимся». Поддержка нового набора доменов и смена серверной инфраструктуры показывают, что для опытных операторов вредоносного ПО даже масштабные зачистки оказываются временной помехой.
Актуальные индикаторы компрометации (IOC), собранные 22 мая, подтверждают наличие десятков IP-адресов и доменов, к которым подключаются заражённые машины. Среди них — 104.21.72.130, 172.67.151.14, lumnew.fun, ancientlum.com и другие.
Пока Lumma Stealer остаётся в строю, доступ к корпоративной сети через похищенные учётные данные становится не вопросом «взлома», а лишь вопросом покупки и входа. Цена подписки на Lumma Stealer по-прежнему невысока, что делает его особенно привлекательным для киберпреступников, включая операторы программ-вымогателей и APT-группировки.
