Microsoft smantella la rete di furti di Lumma e sequestra oltre 2.000 domini

Microsoft, in un'operazione globale con il supporto delle forze dell'ordine internazionali, ha bloccato un'importante rete di distribuzione di malware responsabile di furti di credenziali, frodi finanziarie e attacchi ransomware su larga scala. L'operazione ha preso di mira Lumma Stealer , un malware infostealer utilizzato da centinaia di autori di minacce per rubare informazioni sensibili da quasi 400.000 dispositivi Windows infetti.

Questo sforzo coordinato ha coinvolto la Digital Crimes Unit (DCU) di Microsoft, il Dipartimento di Giustizia degli Stati Uniti, Europol e partner per la sicurezza informatica del settore privato. Insieme, hanno sequestrato oltre 2.300 domini e smantellato l'infrastruttura di Lumma, interrompendo la connessione tra gli aggressori e le loro vittime.

Lumma Stealer è stato commercializzato su forum underground almeno dal 2022 come soluzione plug-and-play per i criminali informatici che desiderano rubare qualsiasi cosa , dalle password ai numeri di carte di credito, dai portafogli crittografici alle credenziali bancarie. La sua facilità d'uso e adattabilità lo hanno aiutato a guadagnare popolarità tra gli autori delle minacce, inclusi gruppi ransomware di alto profilo come Octo Tempest .

Lo strumento viene spesso diffuso tramite campagne di phishing, malvertising e malware loader. In una campagna di quest'anno, gli aggressori si sono spacciati per Booking.com per indurre le vittime a scaricare file contenenti malware, una tattica che continua a ingannare anche gli utenti più esperti.

Il team Threat Intelligence di Microsoft ha monitorato attentamente le attività di Lumma, identificando modelli di infezione diffusi da marzo a maggio 2025. Le mappe di calore condivise dall'azienda illustrano la diffusione globale di questo malware, con elevate concentrazioni di dispositivi infetti in Nord America, Europa e alcune parti dell'Asia.

Secondo il post sul blog di Microsoft, il 13 maggio Microsoft ha intentato un'azione legale presso la Corte Distrettuale degli Stati Uniti per il Distretto Settentrionale della Georgia, ottenendo un'ordinanza del tribunale per bloccare e sequestrare i domini dannosi collegati alla struttura di comando di Lumma. Contemporaneamente, il Dipartimento di Giustizia ha preso il controllo dell'infrastruttura centrale e le forze dell'ordine in Europa e Giappone hanno chiuso i server locali che supportavano l'operazione.

Oltre 1.300 domini sono già stati reindirizzati a server controllati da Microsoft, noti come sinkhole, che ora raccolgono informazioni per proteggere gli utenti e supportare le indagini in corso. Questa mossa impedisce al malware di trasmettere dati rubati o di ricevere istruzioni dagli aggressori.

Lumma non era solo un malware, era un'attività commerciale. Venduto con un modello di abbonamento a livelli, offriva servizi che andavano da strumenti base per il furto di credenziali a 250 dollari all'accesso completo al codice sorgente per 20.000 dollari. Il suo creatore, noto online come "Shamel", gestiva l'attività come una startup, promuovendo Lumma con un caratteristico logo a forma di uccello e slogan che ne minimizzavano le intenzioni malevole.

In un'intervista del 2023 con un ricercatore di sicurezza, Shamel ha affermato di avere 400 clienti attivi. La sua presenza pubblica, nonostante il suo coinvolgimento in frodi diffuse, riflette un problema più ampio: i criminali informatici operano impunemente in giurisdizioni che non danno priorità all'applicazione della legge o alla cooperazione internazionale.

Lo sforzo per smantellare Lumma ha ottenuto il supporto di un'ampia gamma di aziende, tra cui ESET, Cloudflare, Lumen, CleanDNS, BitSight e GMO Registry. Ognuna di esse ha contribuito all'identificazione dell'infrastruttura, alla condivisione di informazioni sulle minacce o all'esecuzione di interventi di rimozione rapidi ed efficienti.

"Questo dimostra quanto possa essere efficace la combinazione tra forze dell'ordine e industria", ha affermato Thomas Richards , Direttore delle Pratiche di Sicurezza delle Infrastrutture di Black Duck, un'azienda di sicurezza informatica con sede nel Massachusetts. "Smantellare questa operazione proteggerà centinaia di migliaia di persone. Ma altrettanto importante è il follow-up, ovvero garantire che le vittime siano allertate e supportate".

Richards ha aggiunto che la crescita del mercato del Malware-as-a-Service negli ultimi anni richiede una collaborazione costante tra i settori per limitare i danni causati da tali strumenti.

Sebbene questa operazione abbia bloccato uno dei più diffusi ladri di informazioni online, Lumma è solo una delle tante minacce che colpiscono gli utenti ogni giorno. Microsoft e i professionisti della sicurezza consigliano al pubblico di:

• Fai attenzione ai link e agli allegati delle email
• Utilizzare strumenti antivirus e antimalware affidabili
• Mantenere aggiornati i sistemi operativi e i software
• Abilitare l'autenticazione a più fattori ove possibile

Lumma Stealer era uno dei preferiti dai criminali informatici perché funzionava, e funzionava su larga scala. Disattivando la sua infrastruttura, Microsoft e i suoi partner hanno compromesso la capacità dei criminali di operare in modo efficiente. Ma finché il crimine informatico rimarrà redditizio, la lotta continuerà.