Une action internationale démantèle le malware Lumma Stealer

Après l'opération Endgame 2, une autre action judiciaire internationale a mis un coup d'arrêt au malware Lumma Stealer. Il avait infecté plus de 400 000 ordinateurs dans le monde.

L’impunité n’existe pas pour les cybercriminels. Un message rappelé à chaque opération judiciaire contre des groupes de malware ou de ransomware. Dernier exemple en date, Microsoft et le ministère américain de la Justice ont démantelé le groupe derrière le malware Lumma Stealer. Cette action a mobilisé aussi le centre européen de lutte contre la cybercriminalité (EC3) d'Europol, celui du Japon (JC3) et plusieurs partenaires du secteur privé (ESET, Bitsight, Lumen, Cloudflare, CleanDNS et GMO Registry), explique la firme de Redmond dans un blog. Elle a permis la saisine de plus de 2 300 domaines malveillants et visait une organisation criminelle dirigée par la Russie.

Lumma Stealer est un malware sur abonnement (MaaS) sophistiqué vendu sur des forums clandestins depuis 2022. Il propose aux acteurs malveillants de voler des identifiants de connexion, des informations de carte bancaire, des données de portefeuille de cryptomonnaies et d'autres actifs numériques sensibles. Microsoft indique avoir détecté plus de 394 000 PC Windows infectés par Lumma dans le monde entre le 16 mars et le 16 mai de cette année. La portée du malware s'étend à tous les secteurs et à toutes les zones géographiques, des infrastructures critiques et des systèmes éducatifs aux institutions financières et aux communautés de joueurs.

Un infostealer redoutable

« Lumma est devenu un outil incontournable pour les cybercriminels et les opérateurs de rançongiciels, dont le célèbre groupe Octo Tempest », a déclaré Microsoft dans son blog, soulignant les capacités d'évasion et la simplicité d'utilisation du malware. Il se propage souvent via des campagnes de phishing, de fausses publicités et l'usurpation d'identité de marques de confiance comme Booking.com et Microsoft. Le communiqué du DOJ mentionne également que le FBI a détecté plus de 1,7 million de cas où LummaC2 a été utilisé pour collecter des identifiants et d'autres informations sensibles.

Le créateur de Lumma, connu en ligne sous le nom de « Shamel », opère depuis la Russie et a commercialisé son logiciel malveillant via Telegram et d’autres forums en langue russe. Shamel a associé le logiciel malveillant à un logo d’oiseau et au slogan : « Gagner de l’argent avec nous est tout aussi facile ». Un entretien réalisé en novembre 2023 avec un chercheur connu sous le nom de « g0njxa » a révélé que Lumma comptait « environ 400 clients actifs », soulignant la professionnalisation de la cybercriminalité.

La vigilance est de mise sur la renaissance de Lumma

A l’issue de l’opération, plus de 1 300 domaines saisis ou transférés à Microsoft sont désormais redirigés vers des « skinholes » des systèmes conçus pour collecter en toute sécurité des informations sur les terminaux infectés. Microsoft peut ainsi recueillir des renseignements sur les menaces en cours et d’aider les victimes à se rétablir tout en empêchant toute nouvelle communication de malware. « Cette action conjointe vise à ralentir la vitesse à laquelle ces acteurs peuvent lancer leurs attaques, à minimiser l'efficacité de leurs campagnes et à entraver leurs profits illicites », a indiqué l’éditeur.

Malgré le démantèlement, les experts mettent en garde contre la réapparition de Lumma et d’autres opérations similaires de logiciels malveillants en tant que service sous de nouveaux noms ou avec une infrastructure reconstituée. Cette opération souligne la menace persistante que représentent les cybercriminels opérant depuis des juridictions offrant un refuge sûr ou dépourvues de mécanismes de répression solides. « Cette action complique les opérations des cybercriminels », a déclaré Bryan Vorndran, directeur adjoint de la division cyber du FBI.