Microsoft desmantela rede de ladrões de Lumma e apreende mais de 2.000 domínios

A Microsoft, em uma operação global com o apoio de agências internacionais de segurança, desativou uma importante rede de distribuição de malware responsável por roubo generalizado de credenciais, fraudes financeiras e ataques de ransomware. A operação teve como alvo o Lumma Stealer , um malware infostealer usado por centenas de cibercriminosos para roubar informações confidenciais de quase 400.000 dispositivos Windows infectados.

Esse esforço coordenado envolveu a Unidade de Crimes Digitais (DCU) da Microsoft, o Departamento de Justiça dos EUA, a Europol e parceiros de segurança cibernética do setor privado. Juntos, eles apreenderam mais de 2.300 domínios e desmantelaram a infraestrutura da Lumma, cortando a conexão entre os invasores e suas vítimas.

O Lumma Stealer é comercializado em fóruns clandestinos desde pelo menos 2022 como uma solução plug-and-play para cibercriminosos que buscam roubar tudo, desde senhas e números de cartão de crédito até carteiras de criptomoedas e credenciais bancárias. Sua facilidade de uso e adaptabilidade o ajudaram a ganhar força entre os cibercriminosos, incluindo grupos de ransomware de alto perfil como o Octo Tempest .

A ferramenta é frequentemente disseminada por meio de campanhas de phishing, malvertising e carregadores de malware. Em uma campanha no início deste ano, invasores se passaram pelo Booking.com para induzir as vítimas a baixar arquivos com malware, uma tática que continua a enganar até mesmo usuários experientes.

A equipe de inteligência de ameaças da Microsoft monitorou de perto as atividades da Lumma, identificando padrões generalizados de infecção de março a maio de 2025. Mapas de calor compartilhados pela empresa ilustram a presença global desse malware, com grandes concentrações de dispositivos infectados na América do Norte, Europa e partes da Ásia.

De acordo com a publicação no blog da Microsoft, em 13 de maio, a Microsoft entrou com uma ação judicial no Tribunal Distrital dos EUA para o Distrito Norte da Geórgia, obtendo uma ordem judicial para bloquear e apreender os domínios maliciosos vinculados à estrutura de comando da Lumma. Simultaneamente, o Departamento de Justiça assumiu o controle da infraestrutura central, e agências policiais na Europa e no Japão desligaram os servidores locais que davam suporte à operação.

Mais de 1.300 domínios já foram redirecionados para servidores controlados pela Microsoft, conhecidos como sinkholes, que agora coletam informações para ajudar a proteger os usuários e apoiar investigações em andamento. Essa medida impede que o malware transmita dados roubados ou receba instruções de invasores.

O Lumma não era apenas um malware, era um negócio. Vendido sob um modelo de assinatura em camadas, oferecia serviços que iam desde ferramentas básicas para roubo de credenciais por US$ 250 até acesso completo ao código-fonte por US$ 20.000. Seu criador, conhecido online como "Shamel", administrava a operação como uma startup, promovendo o Lumma com um logotipo de pássaro característico e slogans que minimizavam sua intenção maliciosa.

Em uma entrevista de 2023 com um pesquisador de segurança, Shamel afirmou ter 400 clientes ativos. Sua presença pública, apesar de seu envolvimento em fraudes generalizadas, reflete um problema mais amplo: cibercriminosos operando impunemente em jurisdições que não priorizam a aplicação da lei ou a cooperação internacional.

O esforço para desmantelar a Lumma contou com o apoio de uma ampla gama de empresas, incluindo ESET, Cloudflare, Lumen, CleanDNS, BitSight e GMO Registry. Cada uma delas desempenhou um papel na identificação de infraestrutura, no compartilhamento de inteligência de ameaças ou na execução de remoções de forma rápida e eficiente.

“Isso mostra o quão poderosa a combinação entre a aplicação da lei e a indústria pode ser”, disse Thomas Richards , Diretor de Prática de Segurança de Infraestrutura da Black Duck, empresa de segurança cibernética sediada em Massachusetts. “Desmantelar essa operação protegerá centenas de milhares de pessoas. Mas tão importante quanto isso é o acompanhamento, garantindo que as vítimas sejam alertadas e apoiadas.”

Richards acrescentou que o crescimento do mercado de malware como serviço nos últimos anos exige colaboração consistente entre setores para limitar os danos dessas ferramentas.

Embora esta operação tenha desmantelado um dos ladrões de informações mais comuns online, o Lumma é apenas uma das muitas ameaças que visam usuários diariamente. A Microsoft e os profissionais de segurança aconselham o público a:

• Tenha cuidado com links e anexos de e-mail
• Use ferramentas antivírus e antimalware confiáveis
• Mantenha os sistemas operacionais e softwares atualizados
• Habilite a autenticação multifator sempre que possível

O Lumma Stealer era o favorito dos cibercriminosos porque funcionava, e funcionava em larga escala. Ao desativar sua infraestrutura, a Microsoft e seus parceiros prejudicaram a capacidade de agentes maliciosos de operar com eficiência. Mas, enquanto o cibercrime continuar lucrativo, a luta continua.