- Microsoft und das US-Justizministerium haben in Zusammenarbeit mit Europol und globalen Cybersecurity-Firmen das Lumma Stealer Malware-Netzwerk gestört, das als Malware-as-a-Service Plattform weltweit eingesetzt wurde. Microsoft gelang es, durch einen Gerichtsbeschluss etwa 2.300 bösartige Domains aus dem Netz zu nehmen, während das DOJ fünf LummaC2-Domains abschaltete. Die Lumma Malware ist für Cyberkriminelle attraktiv, da sie auf Benutzerfreundlichkeit ausgelegt und häufig mit Verschleierungstools gebündelt ist. Der Entwickler von Lumma, der unter dem Pseudonym „Shamel“ agieren soll, befindet sich möglicherweise in Russland und behauptete, 400 aktive Kunden zu haben. Die internationale Zusammenarbeit und dieses Vorgehen gegen Lumma unterstreichen die Bedeutung öffentlich-privater Partnerschaften im Kampf gegen Cyberkriminalität.
Microsoft hat, in enger Zusammenarbeit mit dem US-Justizministerium, einen bedeutenden Schritt unternommen, um eines der am weitesten verbreiteten Cyberkriminalitätswerkzeuge der Gegenwart zu zerschlagen. In einer umfassenden Gemeinschaftsaktion arbeitete die Digital Crimes Unit (DCU) von Microsoft mit dem DOJ, Europol und mehreren globalen Cybersecurity-Firmen zusammen, um das Lumma Stealer Malware-Netzwerk zu stören — eine Malware-as-a-Service (MaaS) Plattform, die in Hunderttausende von digitalen Einbrüchen weltweit verwickelt ist. Microsoft berichtet, dass zwischen März und Mitte Mai 2025 über 394.000 Windows-Maschinen von Lumma Stealer infiziert wurden. Diese Malware ist ein bevorzugtes Werkzeug von Cyberkriminellen, um Anmeldedaten und sensible Finanzinformationen, einschließlich Kryptowallets, zu stehlen. Zudem wurden Erpressungskampagnen gegen Schulen, Krankenhäuser und Infrastrukturbetreiber durchgeführt.
Internationale Kooperation im Cyberkrieg
Mit einem Gerichtsbeschluss des U.S. District Court für die nördlichen Bezirke von Georgia nahm Microsoft etwa 2.300 bösartige Domains von Lummas Infrastruktur aus dem Netz. Parallel dazu schaltete das DOJ fünf wesentliche LummaC2-Domains ab, die als Kommandozentralen für die Malware-Entfernung dienten. Diese Domains leiten nun auf eine Regierungsbeschlagnahmungsseite um. Die internationale Unterstützung kam von Europols European Cybercrime Center (EC3) und Japans JC3, die sich bemühten, regionale Server zu blockieren. Cybersecurity-Firmen wie Bitsight, Cloudflare, ESET, Lumen, CleanDNS und GMO Registry halfen dabei, die Webinfrastruktur zu identifizieren und zu demontieren.
Die Struktur der Lumma-Operation
Lumma, auch bekannt als LummaC2, operiert seit 2022 oder möglicherweise früher und bietet ihre informationsklauende Malware über verschlüsselte Foren und Kanäle zum Verkauf an. Die Malware ist auf Benutzerfreundlichkeit ausgelegt und wird oft mit Verschleierungstools gebündelt, um Virenscanner zu umgehen. Verbreitungstechniken umfassen gezielte Phishing-Angriffe und gefälschte Markenwebseiten. Sicherheitsforscher betonen, dass Lumma besonders gefährlich ist, da es Kriminellen ermöglicht, Angriffe schnell zu skalieren. Käufer können Schadsoftware anpassen, gestohlene Daten verfolgen und sogar Kundensupport durch ein spezielles Benutzerpanel erhalten. Microsofts Bedrohungsintelligenz hat Lumma zuvor mit der berüchtigten Octo Tempest-Bande, auch als „Scattered Spider“ bekannt, in Verbindung gebracht.
Verschleierte Identitäten
Die Behörden vermuten, dass der Entwickler von Lumma unter dem Pseudonym „Shamel“ agiert und sich in Russland befindet. Shamel behauptete, 400 aktive Kunden zu haben und prahlte damit, Lumma mit einem Taubenlogo und dem Slogan „Mit uns Geld zu verdienen ist kinderleicht“ zu branden. Trotz des Abschaltens warnen Experten davor, dass Lumma und ähnliche Werkzeuge selten vollständig ausgelöscht werden. Doch Microsoft und das DOJ betonen, dass diese Maßnahmen kriminelle Operationen ernsthaft behindern und ihre Infrastruktur sowie Einnahmequellen kappen. Microsoft wird die beschlagnahmten Domains als Fangnetz verwenden, um Informationen zu sammeln und Opfer weiter zu schützen. Diese Situation unterstreicht die Notwendigkeit internationaler Zusammenarbeit im Kampf gegen Cyberkriminalität. DOJ-Beamte hoben den Wert öffentlich-privater Partnerschaften hervor, während das FBI betonte, dass gerichtlich genehmigte Störungen ein kritisches Instrument in der Cybersicherheitsstrategie der Regierung bleiben.
Die fortdauernden Bemühungen von Microsofts DCU setzen durch das Vorgehen gegen Lumma ein deutliches Zeichen dafür, was möglich ist, wenn Industrie und Regierung zusammenarbeiten, um Bedrohungen auszuschalten. Angesichts der Enthüllung und Unterbindung weiterer dieser Organisationen bleibt es entscheidend, den eigenen Schutz zu gewährleisten, indem Sie regelmäßig Ihre Passwörter ändern und keine Links von unbekannten Absendern anklicken.
