Microsoft ได้ร่วมมือกับกระทรวงยุติธรรมของสหรัฐอเมริกา (DOJ) เพื่อก้าวสำคัญในการรื้อถอนเครื่องมือไซเบอร์ที่อุดมสมบูรณ์ที่สุดแห่งหนึ่งในการหมุนเวียน หน่วยอาชญากรรมดิจิตอลของ Microsoft (DCU) ได้ร่วมมือกับกระทรวงยุติธรรม Europol และ บริษัท รักษาความปลอดภัยทางไซเบอร์ทั่วโลกหลายแห่งเพื่อบ่อนทำลายเครือข่ายมัลแวร์ Lumma Stealer – แพลตฟอร์ม Malware Service (MAAS) ที่เกี่ยวข้องกับช่องโหว่ดิจิตอลหลายแสนตัวทั่วโลก

จากข้อมูลของ Microsoft ระหว่างเดือนมีนาคมถึงกลางปี ​​2568 โจรของ Luma ติดเชื้อ Windows 394,000 เครื่อง มัลแวร์เป็นเครื่องมือที่ต้องการในหมู่อาชญากรไซเบอร์เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบและข้อมูลทางการเงินที่ละเอียดอ่อน มันถูกใช้ในการเคลื่อนไหวค่าไถ่ที่กำหนดเป้าหมายโรงเรียนโรงพยาบาลและผู้ให้บริการโครงสร้างพื้นฐาน ตามเว็บไซต์ของกระทรวงยุติธรรม “FBI ได้ระบุอย่างน้อย 1.7 ล้านอินสแตนซ์ของ Lummac2 ที่ใช้เพื่อขโมยข้อมูลดังกล่าว”

ด้วยคำสั่งศาลในศาลแขวงสหรัฐ Microsoft ยกเลิกพื้นที่ที่เป็นอันตรายประมาณ 2,300 แห่งที่เกี่ยวข้องกับโครงสร้างพื้นฐานของ Lumma กระทรวงยุติธรรมได้ลบโดเมน Lummac2 ที่สำคัญห้าโดเมนซึ่งเป็นศูนย์ควบคุมและควบคุมอาชญากรไซเบอร์ที่ปรับใช้มัลแวร์ พื้นที่เหล่านี้ถูกเปลี่ยนเส้นทางไปยังการแจ้งเตือนการจับกุมของรัฐบาล

ความช่วยเหลือระหว่างประเทศมาจากศูนย์อาชญากรรมไซเบอร์ในยุโรปของยูโร (EC3) และ JC3 ประเทศญี่ปุ่นซึ่งประสานความพยายามในการบล็อกเซิร์ฟเวอร์ภูมิภาค บริษัท รักษาความปลอดภัยทางไซเบอร์เช่น Bitsight, CloudFlare, ESET, Lumen, CleanDNS และ GMO Registry ช่วยระบุและทำลายโครงสร้างพื้นฐานเว็บ

การดำเนินการภายใน

LUMMA (หรือที่รู้จักกันในชื่อ Lummac2) ทำงานมาตั้งแต่ปี 2565 และอาจจะก่อนหน้านี้และได้ทำให้มัลแวร์ขโมยข้อมูลสามารถขายผ่านฟอรัมที่เข้ารหัสและช่องโทรเลข มัลแวร์ได้รับการออกแบบให้ใช้งานง่ายและมักจะรวมกับเครื่องมือทำให้งงงวยเพื่อช่วยข้ามซอฟต์แวร์ป้องกันไวรัส เทคโนโลยีการจัดจำหน่ายรวมถึงอีเมลสไตล์หอกเว็บไซต์แบรนด์ที่ฉ้อโกงและการโฆษณาออนไลน์ที่เป็นอันตรายที่เรียกว่า “การเสื่อมสภาพ”

นักวิจัยด้านความปลอดภัยทางไซเบอร์กล่าวว่า Lumma นั้นอันตรายอย่างยิ่งเพราะทำให้อาชญากรโจมตีได้อย่างรวดเร็ว ผู้ซื้อสามารถปรับแต่ง payloads ติดตามข้อมูลที่ถูกขโมยและแม้กระทั่งรับการสนับสนุนลูกค้าผ่านแผงผู้ใช้เฉพาะ ก่อนหน้านี้ Microsoft Threat Intelligence ได้เชื่อมโยง Lumma กับแก๊งค์ Octo Tempest ที่น่าอับอายหรือที่รู้จักกันในชื่อ “แมงมุมกระจัดกระจาย”

ในระหว่างการรณรงค์ฟิชชิ่งเมื่อต้นปีที่ผ่านมาแฮกเกอร์สามารถหลอก Booking.com และใช้ Lumma เพื่อรับใบรับรองทางการเงินจากผู้ที่ตกเป็นเหยื่อที่ไม่สงสัย

ใครอยู่เบื้องหลัง?

เจ้าหน้าที่เชื่อว่านักพัฒนาของ Lumma ดำเนินการโดยนามแฝง “Shamel” และดำเนินการนอกรัสเซีย ในการให้สัมภาษณ์ในปี 2566 Shamel อ้างว่ามีลูกค้าที่ใช้งานอยู่ 400 รายและยังโอ้อวดเกี่ยวกับแบรนด์ Lumma ซึ่งมีโลโก้ Dove และสโลแกน:“ มันง่ายเหมือนที่เราทำเงิน”

การทำลายล้างระยะยาวไม่ใช่การกำจัด

ในขณะที่การอพยพมีความสำคัญผู้เชี่ยวชาญเตือนว่า Lumma และเครื่องมือที่คล้ายกันนั้นไม่ค่อยได้รับการกำจัดอย่างถาวร อย่างไรก็ตาม Microsoft และกระทรวงยุติธรรมกล่าวว่าการกระทำดังกล่าวขัดขวางการดำเนินงานทางอาญาอย่างรุนแรงโดยการตัดโครงสร้างพื้นฐานและกระแสรายได้ Microsoft จะใช้ชื่อโดเมนที่ถูกครอบครองเป็น taints เพื่อรวบรวมข่าวกรองและปกป้องผู้ที่ตกเป็นเหยื่อเพิ่มเติม

สถานการณ์นี้เน้นย้ำถึงความจำเป็นสำหรับความร่วมมือระหว่างประเทศในการบังคับใช้กฎหมายอาชญากรรมไซเบอร์ เจ้าหน้าที่กระทรวงยุติธรรมเน้นย้ำถึงคุณค่าของการเป็นหุ้นส่วนภาครัฐและเอกชนในขณะที่ FBI ตั้งข้อสังเกตว่าการหยุดชะงักของการอนุญาตที่ได้รับคำสั่งศาลยังคงเป็นเครื่องมือสำคัญในสคริปต์ความปลอดภัยทางไซเบอร์ของรัฐบาล

ในขณะที่ DCU ของ Microsoft ยังคงทำงานอย่างต่อเนื่อง Luma Calm นี้เป็นแบบอย่างที่ดีสำหรับเป้าหมายที่ประสบความสำเร็จโดยผู้เชี่ยวชาญในอุตสาหกรรมและรัฐบาลที่ทำงานร่วมกันเพื่อกำจัดภัยคุกคาม

เมื่อมีการค้นพบและทำลายองค์กรเหล่านี้มากขึ้นอย่าลืมป้องกันตัวเองโดยการเปลี่ยนรหัสผ่านบ่อยครั้งและหลีกเลี่ยงการคลิกลิงก์จากผู้ส่งที่ไม่รู้จัก