持续的信息窃取者在国际删除后几天重新浮出水面,这是另一个例子,说明即使是大规模的打击也可能无法永久破坏复杂的恶意软件即服务操作。

Lumma,也被称为LummaC2,自2022年以来一直在暗网上流传,并迅速成为网络犯罪分子窃取凭据和财务数据的流行工具。美国司法部,联邦调查局和微软领导了5月份与Lumma的指挥和控制网络相关的2,300个域名的删除,将流量重新路由到下沉孔并收集情报,因为欧洲刑警组织证实了中断(见:警察行动和微软删除Lumma Infostealer)。

微软追踪的组织Storm-2477以每月250美元至1000美元的价格提供对恶意软件的访问。Lumma感染通常是包括Scattered Spider在内的团体勒索软件攻击的前奏。这是“网络犯罪分子和在线威胁行为者的首选工具”,微软数字犯罪部门助理总法律顾问史蒂文·马萨达(Steven Masada)在一篇博客文章中写道,预示着5月21日的撤职。Lumma的主要开发人员位于俄罗斯,并通过互联网别名“Shamel”。

安全公司Check spottedPoint在拆除确认拆除后几天发现了Lumma操作,但质疑FBI关于警方扣押了主服务器的说法。“Lumma Developer”写道,服务器超出了美国执法部门的地理范围。FBI“确实通过未知的漏洞利用渗透到服务器,并格式化了所有磁盘,”Lumma Developer写道。但是,“我们迅速恢复了功能并增加了更多的日志记录。

像Lumma这样的恶意软件即服务平台经常在被拆除后反弹,因为它们的模块化设计和工具允许运营商快速重新组装关键组件,Lat61威胁情报团队负责人兼安全公司Point Wild首席技术官Zulifkar Ramzan说。

“就Lumma而言,它已经破坏了数十万个系统并窃取了数千万条记录,恶意软件的高财务激励和模块化架构使快速返回变得更加可行,”Ramzan告诉信息安全媒体集团。

Ramzan的威胁情报团队的研究表明,黑客使用Lumma入侵了超过394,000台Windows设备,并在截至5月16日的短短两个月内泄露了超过7000万条记录。他补充说,虽然Lumma的回归很快,但它反映了网络犯罪业务通过转移基础设施来适应和恢复的容易程度。

“大多数取下击中表面,而不是根部,”他说。“这些行动背后的关键人物很少被揭露,更不用说被捕了。在这种改变之前,威胁不会消失。

SOCRadar首席信息安全官Ensar Seker表示,像Lumma这样的恶意软件复苏曾经很少见,但它们正变得越来越普遍 – 特别是在窃取服务市场,威胁行为者可以快速克隆基础设施并重新部署操作。根据Seker的说法,Lumma的快速反弹显示出精心准备,专业化的操作的迹象。

“过去,协调拆除可能会停滞数月的运营,”Seker说。“但今天的网络犯罪分子使用反向通道,镜子和模块化生态系统进行操作,使他们能够在几天而不是几周内转向。

“在Lumma的情况下,其复出的速度表明准备充分的操作,而不仅仅是一个独自演员争先恐后地重塑品牌,”他补充说。