admin
พันธมิตรด้านเทคโนโลยีและหน่วยงานบังคับใช้กฎหมายที่นำโดยหน่วยอาชญากรรมดิจิตอลของ Microsoft (DCU) ได้บ่อนทำลายการดำเนินงานของมัลแวร์ Lumma Stealer (MAAS) ที่เป็นอันตรายซึ่งเป็นการดำเนินการที่มีบทบาทสำคัญในคลังแสงของแก๊งไซเบอร์อาชญากรรมหลายตัวรวมถึงแรนซัมแวร์
การใช้คำสั่งศาลที่ได้รับการอนุมัติจากศาลแขวงสหรัฐในเขตนอร์ทจอร์เจียในช่วงต้นเดือนพฤษภาคม DCU และกองทหารครอบครองและครอบครองโดเมนที่เป็นอันตรายประมาณ 2,300 โดเมนซึ่งเป็นแกนหลักของการดำเนินงานของ Lumma
“ Lumma ขโมยรหัสผ่านบัตรเครดิตบัญชีธนาคารและกระเป๋าเงินดิจิตอลและทำให้อาชญากรสามารถสังหารค่าไถ่โรงเรียนบัญชีธนาคารที่ว่างเปล่าและขัดขวางการบริการที่สำคัญ” DCU ผู้ช่วยที่ปรึกษาทั่วไปกล่าว
ในขณะเดียวกันกระทรวงยุติธรรมของสหรัฐอเมริกา (DOJ) ได้ครอบครองโครงสร้างกองบัญชาการกลาง MAAS และกำหนดเป้าหมายไปที่ตลาดใต้ดินเพื่อขายในขณะที่ที่อื่นศูนย์อาชญากรรมยุโรปของ Europol (EC3) และศูนย์ควบคุมอาชญากรรมไซเบอร์ของญี่ปุ่น (JC3) ตามโครงสร้างพื้นฐานที่เป็นเจ้าภาพในท้องถิ่น
Edvardasšilerisหัวหน้า Europol EC3 กล่าวว่า:“ การกระทำนี้เป็นตัวอย่างที่ชัดเจนว่าการเป็นหุ้นส่วนภาครัฐและเอกชนสามารถเปลี่ยนการต่อสู้กับอาชญากรรมไซเบอร์ได้อย่างไรโดยการรวมความสามารถในการประสานงานของ Europol เข้ากับข้อมูลเชิงลึกทางเทคนิคของ Microsoft
ในบล็อกโพสต์ที่มีรายละเอียดเกี่ยวกับการอพยพ Masada กล่าวว่าในอีกสองเดือน Microsoft ได้ระบุคอมพิวเตอร์ Windows 394,000 เครื่องที่ติดเชื้อโดย Lumma ขณะนี้เครื่องจักรได้รับการ “ปล่อย” และการสื่อสารระหว่าง Lumma และผู้ที่ตกเป็นเหยื่อของมันถูกตัดออกไป
การดำเนินการร่วมกันมีจุดมุ่งหมายเพื่อชะลอตัวลง [threat] นักแสดงสามารถเปิดตัวการโจมตีเพื่อลดประสิทธิภาพของแคมเปญและขัดขวางผลกำไรที่ผิดกฎหมายของพวกเขาโดยการลดรายได้ที่สำคัญ
Steven Masada, Microsoft Digital Crime Division
ในขณะเดียวกันมีโดเมนประมาณ 1,300 โดเมนที่ Microsoft ถูกจับหรือถ่ายโอนไปยัง Microsoft (รวมถึง 300 ที่ดำเนินการโดย Europol) ตอนนี้ถูกนำไปยัง Sewage Puddle ที่ดำเนินการโดย Microsoft
“ สิ่งนี้จะช่วยให้ DCU ของ Microsoft สามารถจัดหาหน่วยสืบราชการลับที่มีศักยภาพเพื่อเสริมสร้างความปลอดภัยของบริการองค์กรและช่วยปกป้องผู้ใช้ออนไลน์” Masada กล่าว “ข้อมูลเชิงลึกเหล่านี้จะช่วยในฐานะพันธมิตรภาครัฐและเอกชนยังคงติดตามตรวจสอบและแก้ไขภัยคุกคามนี้
“ การกระทำร่วมกันนี้มีจุดมุ่งหมายเพื่อชะลอการโจมตีของนักแสดงเหล่านี้ลดความเร็วของแคมเปญและขัดขวางผลกำไรที่ผิดกฎหมายของพวกเขาโดยการลดรายได้ที่สำคัญ”
กิ้งก่า Lumma
Lumma Thief Maas ปรากฏตัวครั้งแรกในฉากใต้ดินเมื่อประมาณสามปีที่แล้วและได้รับการพัฒนาอย่างต่อเนื่องเกือบตั้งแต่นั้นมา
Lumma ตั้งค่าออกมาจากรัสเซียและดำเนินการโดยนักพัฒนารายใหญ่ที่ให้บริการสี่ระดับเริ่มต้นที่ $ 250 (£ 186) ถึง $ 20,000 จาก $ 20,000 ที่น่าตื่นเต้นผู้ซื้อสามารถเข้าถึงสไตล์และซอร์สโค้ดของแผงควบคุมของ Lumma รหัสแหล่งที่มาปลั๊กอิน
ในการสนทนากับนักวิจัยบนเว็บ 2023 นั้น Shamel อ้างว่ามีผู้ใช้งานประมาณ 400 คน
หลังจากการปรับใช้เป้าหมายมักจะสร้างรายได้จากข้อมูลหรือดำเนินการแสวงหาผลประโยชน์เพิ่มเติม เช่นเดียวกับกิ้งก่ามันเป็นเรื่องยากที่จะมองเห็นและสามารถลดการป้องกันความปลอดภัยที่มองไม่เห็นจำนวนมาก เพื่อดึงดูดผู้ที่ตกเป็นเหยื่อ Lumma หลอกลวงแบรนด์ที่ไว้วางใจรวมถึง Microsoft และแพร่กระจายผ่านการพัฒนาฟิชชิ่งและการพัฒนาที่เป็นอันตราย
เป็นผลให้มันได้กลายเป็นเครื่องมือในการเลือกสำหรับคนจำนวนมากและเป็นที่ทราบกันดีว่ากลุ่มอาชญากรรมไซเบอร์ที่มีชื่อเสียงหลายคนในโลกรวมถึงแก๊งแรนซัมแวร์ใช้มัน กลุ่มอาจรวมถึงลูกค้าในทันทีหลังการโจมตี Ransomware บน Marks & Spencer ในสหราชอาณาจักรแม้ว่าจะไม่มีหลักฐานสาธารณะว่าสิ่งนี้ถูกใช้ในเหตุการณ์นี้
Blake Darchéหัวหน้า Cloudforce One ที่ CloudFlare ให้การสนับสนุนที่สำคัญในระหว่างการอพยพกล่าวว่า:“ Lumma เข้าสู่เว็บเบราว์เซอร์ของคุณและสามารถใช้ข้อมูลทุกชิ้นบนคอมพิวเตอร์ของคุณได้ตลอดเวลาทุกที่ทุกที่ทุกที่และทุกที่ซึ่งสามารถใช้เพื่อเข้าถึงดอลลาร์หรือบัญชี
“ นักแสดงภัยคุกคามที่อยู่เบื้องหลังมัลแวร์กำหนดเป้าหมายผู้ที่ตกเป็นเหยื่อหลายร้อยคนทุกวันคว้าสิ่งที่พวกเขาสามารถทำได้การหยุดชะงักนี้ได้นำการดำเนินงานของพวกเขากลับมาอย่างสมบูรณ์เป็นเวลาสองสามวันยกเลิกชื่อโดเมนจำนวนมากและในที่สุดก็ปิดกั้นความสามารถในการสร้างรายได้โดยการก่ออาชญากรรมไซเบอร์
“ ในขณะที่ความพยายามนี้เช่นเดียวกับนักแสดงที่คุกคามคนใด ๆ ก็ใส่ประแจเข้าไปในโครงสร้างพื้นฐานที่ใหญ่ที่สุดในโลกผู้คนที่อยู่เบื้องหลัง Luma จะเปลี่ยนกลยุทธ์และปรากฏขึ้นอีกครั้งเพื่อนำแคมเปญของพวกเขากลับมาออนไลน์” Dache กล่าว
