تحالف واسع من شركاء التكنولوجيا ووكالات إنفاذ القانون ، يقودها وحدة الجرائم الرقمية من Microsoft (DCU) ، عطلت سرقة Lumma الخطرة البرامج الضارة كخدمة (MAAS) عملية ، التي لعبت دورًا رئيسيًا في أرسانات العصابات الإجرامية عبر الإنترنت ، بما في ذلك أطقم الفدية.
باستخدام أمر من المحكمة الممنوح في محكمة المقاطعة الأمريكية بالمنطقة الشمالية لجورجيا في وقت سابق من شهر مايو ، استولت DCU و Posse على ما يقرب من 2300 مجلد ضار شكلت جوهر عملية Lumma.
وقال مساعد المستشار العام في DCU ، ستيفن ماسادا: “تسرق Lumma كلمات المرور وبطاقات الائتمان والحسابات المصرفية ومحافظ العملة المشفرة ، وقد مكنت المجرمين من الاحتفاظ بالمدارس إلى الفدية والحسابات المصرفية الفارغة وتعطيل الخدمات الحرجة”.
في الوقت نفسه ، استولت وزارة العدل الأمريكية (DOJ) على هيكل القيادة المركزية في MAAS واستهدفت الأسواق تحت الأرض التي تم فيها بيع الوصول ، بينما في أماكن أخرى ، ذهب مركز الجريمة الأوروبي في يوروبول (EC3) ومركز مراقبة الجريمة الإلكترونية في اليابان (JC3) بعد البنية التحتية المستضافة محليًا.
وقال رئيس Europol EC3 Edvardas šileris: “هذه العملية هي مثال واضح على كيفية تحويل الشراكات بين القطاعين العام والخاص في المعركة ضد الجريمة الإلكترونية. من خلال الجمع بين قدرات تنسيق يوروبول مع الرؤى الفنية لـ Microsoft ، لكننا نعطل ببنية تحتية شاسعة”.
في منشور مدونة يوضح التفاصيل ، قال مسعاد أنه على مدار شهرين ، حددت Microsoft أكثر من 394000 جهاز كمبيوتر يعمل بنظام Windows المصاب بـ Lumma. تم الآن “تحرير” هذه الآلات ، حيث قطعت الاتصالات بين Lumma وضحاياها.
تم تصميم هذا العمل المشترك لإبطاء السرعة التي [threat] يمكن للممثلين شن هجماتهم ، وتقليل فعالية حملاتهم ، ويعيقون أرباحهم غير المشروعة عن طريق خفض تدفق الإيرادات الرئيسي
ستيفن ماسادا ، وحدة جرائم Microsoft الرقمية
في الوقت نفسه ، يتم الآن إعادة توجيه حوالي 1300 مجال تم الاستيلاء عليها من قبل أو نقلها إلى Microsoft-بما في ذلك 300 حركة من قبل Europol-إلى حفرة بالوعة التي تديرها Microsoft.
وقال ماسادا: “سيتيح هذا لـ Microsoft DCU توفير ذكاء عملي لمواصلة تصلب أمن خدمات الشركة والمساعدة في حماية المستخدمين عبر الإنترنت”. “ستساعد هذه الأفكار أيضًا شركاء القطاع العام والخاص مع استمرارهم في تتبع هذا التهديد والتحقيق فيه ومعالجته.
“تم تصميم هذا الإجراء المشترك لإبطاء السرعة التي يمكن لهذه الجهات الفاعلة شن هجماتها ، وتقليل فعالية حملاتهم ، وتعيق أرباحهم غير المشروعة عن طريق خفض تدفق الإيرادات الرئيسي.”
Lumma Chameleon
ظهر سارق Lumma Maas لأول مرة على المشهد تحت الأرض منذ حوالي ثلاث سنوات وكان تحت التطوير شبه المستمر منذ ذلك الحين.
يقع Lumma في خارج روسيا ، والذي يديره مطور أساسي يمر بمقبض “شاميل” ، ويقدم أربع مستويات من الخدمة ، بدءًا من 250 دولارًا (186 جنيهًا إسترلينيًا) وارتفاع إلى 20،000 دولار ، حيث يحصل المشترون على الوصول إلى أسلوب Lumma ورمز المصدر اللوحة ، والرمز المصدر للمكونات الإضافية ، والحق في التصرف كموارد.
عند نشره ، يكون الهدف عادةً هو نسي من البيانات المسروقة أو إجراء مزيد من الاستغلال. مثل الحرباء ، من الصعب اكتشافها ويمكن أن تنزلق من خلال العديد من الدفاعات الأمنية غير المرئية. لجذب ضحاياها ، تنتشر Lumma Spoofs العلامات التجارية – بما في ذلك Microsoft – وينتشر من خلال التصيد والتصيد.
على هذا النحو ، أصبح الأمر بمثابة أداة من أجل الكثيرين ، ومن المعروف أنها استخدمت من قبل العديد من مجموعات الجريمة الإلكترونية الأكثر شهرة في العالم ، بما في ذلك عصابات الفدية. من المحتمل أن يتضمن عملاؤها ، في وقت واحد ، العنكبوت المبعثر ، أن المجموعة تعتقد أنها تقف وراء هجوم الفدية على ماركس وسبنسر في المملكة المتحدة ، على الرغم من عدم وجود أدلة عامة تشير إلى أنه تم استخدامه في هذا الحادث.
بليك دارشه ، رئيس Cloudforce واحد في CloudFlare ، الذي قدم دعمًا رئيسيًا أثناء الإزالة ، قال: “يذهب Lumma إلى متصفح الويب الخاص بك ويحصد كل جزء من المعلومات على جهاز الكمبيوتر الخاص بك يمكن استخدامه للوصول إلى الدولارات أو الحسابات – مع وجود ملف تعريف الضحية ، في أي مكان ، في أي وقت.
“يستهدف الممثلون التهديدون وراء البرامج الضارة مئات الضحايا يوميًا ، ويحصلون على أي شيء يمكنهم الحصول عليه. هذا الاضطراب عمل على استعادة عملياتهم بالكامل في أيام ، وإنزال عدد كبير من أسماء النطاقات وحظر قدرتهم في النهاية على كسب المال من خلال ارتكاب جريمة الإنترنت.
وقال دارشه: “في حين أن هذا الجهد ألقى مفتاحًا كبيرًا في أكبر البنية التحتية العالمية في Infostealer ، مثل أي ممثل تهديد ، فإن أولئك الذين يقفون وراء Lumma سيغيرون التكتيكات ويعيدون إعادة حملتهم عبر الإنترنت”.
