Świat cyberbezpieczeństwa ciągle ewoluuje, a walka z cyberprzestępcami wymaga coraz bardziej zaawansowanej współpracy. W maju 2025 roku miała miejsce operacja, której celem była neutralizacja Lumma Stealer – jednego z najbardziej rozpowszechnionych i niebezpiecznych infostealerów ostatnich lat. Ta skoordynowana akcja, prowadzona przez wiele firm i instytucji, to ważny krok w walce z tego typu zagrożeniami. Jest to też dobry znak na przyszłość, pokazujący, że ochrona przez cyberprzestępcami to problem globalny.
Czym jest Lumma Stealer?
Lumma Stealer, znany również jako LummaC2, to złośliwe oprogramowanie typu infostealer, czyli programu wykorzystywanego do wykradania danych. Działał w modelu MaaS (Malware-as-a-Service), co oznacza, że był oferowany jak usługa subskrypcyjna. Operatorzy Lumma Stealer, zarządzali infrastrukturą i panelem, który umożliwiał osobom płacącym za usługę tworzenie binariów malware, zarządzanie komunikacją C2 (Command and Control) i skradzionymi informacjami.
Lumma Stealer jest zaprojektowany do kradzieży całkiem szerokiego zakresu danych. Jego główne funkcje to:
- Kradzież danych uwierzytelniających z przeglądarek np. hasła i zapisane dane z formularzy z przeglądarek opartych na silniku chromium i Mozilla ale również ciasteczka sesyjne
- Eksfiltrację danych z portfeli kryptowalutowych
- Przechwytywanie tokenów uwierzytelniania dwuskładnikowego (2FA)
- Zbieranie informacji systemowych oraz danych z aplikacji – klientów poczty email ftp czy aplikacji telegram
- Kradzież danych użytkowników – znaleziony w profilach użytkowników dokumenty z rozszerzenia pdf czy docx
Po zgromadzeniu danych dane były przesyłane do serwera C2, tym samym przechodząc pod kontrolę atakujących. Malware wykorzystywał możliwość wstrzykiwania swojego złośliwego kodu do prawdziwych procesów Windowsa, co z kolei było pomocny w omijaniu wykrycia przez różnego rodzaju systemy.
Oprogramowanie było dystrybuowane różnymi metodami. Były to kampanie mailowe podszywające się pod znane marki, które zawierały złośliwe linki lub załączniki, fałszywe strony CAPTCHA czy złośliwe reklamy prowadzący do fałszywych stron z możliwością pobrania popularnego oprogramowania.
Operacja – neutralizacja
W maju 2025 roku międzynarodowa grupa, w skład której weszły między innymi ESET, Microsoft, Europol oraz japońskie organy ścigania wraz z firmami Cloudflare, BitSight, CleanDNS i Lumen, przeprowadziła skoordynowaną operację mającą na celu zneutralizowanie Lumma Stealer.
W ramach tej akcji:
- Zidentyfikowano i przejęto ponad 2 300 domen powiązanych z działalnością malware.
- Zlikwidowano serwery C2 oraz platformy służące do dystrybucji i sprzedaży złośliwego oprogramowania.
- Zablokowano dostęp do paneli logowania wykorzystywanych przez cyberprzestępców.
Skala zagrożenia i wpływ na Polskę
Lumma Stealer był jednym z najbardziej rozpowszechnionych infostealerów, infekując w ciągu zaledwie dwóch miesięcy ponad 394 000 komputerów z systemem Windows na całym świecie. Atakował zarówno użytkowników indywidualnych, ale również firmy.
Według danych ESET, od lipca 2024 roku Polska była czwartym najczęściej atakowanym przez Lumma Stealer krajem na świecie i drugim w Europie. Wyprzedziły nas tylko Meksyk, Hiszpania i USA.
Operacja przeciwko Lumma Stealer to duży sukces, ale jak mówią eksperci, zagrożenie ze strony infostealerów jest wysokie. Lumma Stealer to jedno z wielu narzędzi, a jego model MaaS i łatwość dystrybucji to znak, że podobne zagrożenia mogą pojawić się w przyszłości.
