L’operazione internazionale guidata da FBI ed Europol ha segnato un punto di svolta nella lotta contro la criminalità informatica grazie alla disarticolazione della rete di Lumma Stealer, uno dei malware infostealer più diffusi al mondo. Questo malware, noto anche come LummaC o LummaC2, era attivo almeno dal 2022 e ha compromesso milioni di sistemi Windows con l’obiettivo di sottrarre credenziali, dati sensibili, informazioni autofill e frasi seed di criptovalute. Secondo le autorità statunitensi, Lumma sarebbe responsabile di circa 10 milioni di infezioni globali, coinvolgendo una fitta rete di affiliati e cybercriminali.

Il successo dell’operazione si deve al sequestro di ben 2300 domini C2 utilizzati come infrastruttura di comando e controllo del malware. Questi domini, gestiti attraverso una struttura multi-livello, permettevano agli operatori di Lumma di dirigere le infezioni, coordinare il furto di dati e mantenere la resilienza contro le azioni di contrasto. Un aspetto peculiare del malware era il suo modello di distribuzione as-a-service (MaaS): su forum russi e Telegram, “Shamel”, lo sviluppatore principale, offriva Lumma in abbonamento tra 250 e 1000 dollari, con un pacchetto premium da 20000 dollari comprensivo di codice sorgente e possibilità di rivendita.

Evoluzione e tecniche di evasione

Lumma Stealer si è evoluto negli anni sia nella modalità di attacco che nelle tecniche di evasione. Vettori di distribuzione come phishing, malvertising, download drive-by e piattaforme trusted sono stati sfruttati per colpire utenti ignari, spesso con software piratato o falsi aggiornamenti. La struttura del malware era rafforzata da tecniche di offuscamento avanzate come LLVM core, Control Flow Flattening e stack encryption, rendendo difficile l’analisi e la rilevazione. Fallback C2 venivano ospitati addirittura su profili Steam e canali Telegram per garantirsi ridondanza.

Monetizzazione e mercato nero

Sul fronte della monetizzazione, Lumma supportava un marketplace su Telegram dove affiliati potevano vendere direttamente i dati rubati, con un sistema di rating per promuovere la fiducia tra cybercriminali. Solo tra aprile e giugno 2024 sono stati registrati oltre 21000 annunci di “log” rubati, con un aumento del 71% rispetto all’anno precedente.

Ruolo delle aziende di sicurezza e prospettive future

Microsoft, insieme a società come ESET, BitSight, Lumen, Cloudflare e CleanDNS, ha giocato un ruolo chiave nell’azione di contrasto, bloccando l’accesso ai domini malevoli con pagine di avviso e ostacolando la capacità degli attaccanti di guadagnare dalle attività illecite. Tuttavia, le stesse aziende mettono in guardia: la resilienza e la dinamicità degli operatori di Lumma potrebbero portare a nuove campagne in futuro, sottolineando l’importanza di strategie di difesa multilivello e collaborazione continua tra pubblico e privato per fronteggiare minacce di questa portata.