ESET
Lumma Stealer: Microsoft & ESET unterstützen bei Zerschlagung
Microsoft & ESET haben maßgeblich an einer international koordinierten Operation zur Zerschlagung der Schadsoftware „Lumma Stealer“ mitgewirkt. Die Malware galt in den vergangenen zwei Jahren als einer der am weitesten verbreiteten Infostealer weltweit.
Ziel der Aktion war es, die gesamte Infrastruktur der Schadsoftware – insbesondere alle bekannten Command&Control-Server – auszuschalten. Das dadurch entstandene Botnetz wurde weitgehend funktionsunfähig gemacht. Angeführt wurde die Aktion von Microsoft in Zusammenarbeit mit internationalen Partnern wie BitSight, Lumen, Cloudflare, CleanDNS und GMO Registry. Auch europäische und japanische Strafverfolgungsbehörden wie Europol und das Japan Cybercrime Control Center (JC3) waren beteiligt.
„ESETs automatisierte Systeme haben zehntausende Samples von Lumma Stealer verarbeitet, um zentrale Elemente wie C&C-Server und Affiliate-Identifikatoren zu extrahieren. Dadurch konnten wir die Aktivitäten des Infostealers kontinuierlich überwachen, Affiliates clustern, Entwicklungsupdates verfolgen und mehr“, sagt ESET-Forscher Jakub Tomanek, der den Stealer überwacht und untersucht hat. „Infostealer-Malwarefamilien sind typischerweise nur der Anfang viel verheerenderer Angriffe. Gestohlene Zugangsdaten sind eine wertvolle Ware in der Cybercrime-Unterwelt und werden von Initial Access Brokern an verschiedene andere Cyberkriminelle verkauft“, ergänzt Tomanek. Lumma Stealer war in den vergangenen zwei Jahren einer der am weitesten verbreiteten Infostealer.
Kontinuierliche Weiterentwicklung des Infostealers
Die Entwickler des Stealer haben die Malware aktiv weiterentwickelt und gepflegt. ESET hat regelmäßig Code-Updates festgestellt, die von kleineren Bugfixes bis hin zum vollständigen Austausch der Verschlüsselung und Aktualisierungen des Netzwerkprotokolls reichen. Auch die Betreiber des Botnetzes haben die gemeinsame Netzwerkinfrastruktur aktiv gewartet. Zwischen dem 17. Juni 2024 und dem 1. Mai 2025 hat ESET insgesamt 3.353 einzigartige C&C-Domains beobachtet. Das entspricht durchschnittlich etwa 74 neuen Domains pro Woche. Diese fortlaufende Entwicklung unterstreicht die erhebliche Bedrohung durch Lumma Stealer und hebt die Bedeutung seiner Zerschlagung hervor.
Malware-as-a-Service-Modell
Beim Stealer handelt es sich um „Malware as a Service“, bei dem Kunden eine monatliche Gebühr zahlen, um die neuesten Malware-Versionen und die für die Datenexfiltration notwendige Netzwerkinfrastruktur zu erhalten. Das gestaffelte Abonnementmodell reicht von 250 bis 1.000 US-Dollar pro Monat, jeweils mit zunehmend ausgefeilten Funktionen. Die Betreiber haben zudem im Messenger Telegram einen Marktplatz für Affiliates geschaffen, um gestohlene Daten ohne Zwischenhändler zu verkaufen. Hierzu wurde sogar ein Bewertungssystem integriert, mit dem Käufer die Qualität der Informationen beurteilen können. Häufige Verbreitungsmethoden des Infostealers sind Phishing, gecrackte Software und andere Malware-Downloader. Lumma Stealer setzt wenige, aber effektive Anti-Emulations-Techniken ein, die eine Analyse so schwierig wie möglich machen. Diese Techniken dienen dazu, eine Erkennung zu umgehen und die Arbeit von Sicherheitsforschern zu erschweren.
Weltweite Kooperation bei der Zerschlagung von Lumma Stealer
Microsofts Digital Crimes Unit hat mithilfe einer gerichtlichen erlassenen Verfügung die Abschaltung, Sperrung, Beschlagnahmung und Blockierung der schädlichen Domains ermöglicht, die das Rückgrat der Infrastruktur bildeten.. Zeitgleich hat das US-Justizministerium auch das Kontrollpanel von Lumma Stealer beschlagnahmt und den Lumma Stealer-Marktplatz ins Visier genommen – und damit die Käufer der Lumma Stealer-Malware. Dies geschah in Koordination mit dem Europäischen Zentrum für Cyberkriminalität (EC3) von Europol sowie dem japanischen Cybercrime Control Center (JC3). Sie ermöglichten die Abschaltung der lokal betriebenen Lumma Stealer-Infrastruktur.
„Diese globale Störungsoperation wurde durch unser langfristiges Tracking möglich. Die von Microsoft geleitete Aktion zielte darauf ab, alle bekannten Lumma Stealer C&C-Domains zu beschlagnahmen und die Exfiltrationsinfrastruktur außer Betrieb zu setzen. ESET wird weiterhin andere Infostealer beobachten und die Aktivitäten nach dieser Aktion weiterverfolgen“, schließt Tomanek ab.
