{"id":311723,"date":"2025-05-22T12:24:51","date_gmt":"2025-05-22T10:24:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311723"},"modified":"2025-06-02T10:52:19","modified_gmt":"2025-06-02T08:52:19","slug":"strafverfolger-beschlagen-lumma-stealer-infrastruktur","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/22\/strafverfolger-beschlagen-lumma-stealer-infrastruktur\/","title":{"rendered":"Strafverfolger beschlagnahmen Lumma Stealer-Infrastruktur (Mai 2025)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In einer koordinierten Aktion haben US-Strafverfolger die Infrastruktur (C & C-Server) des Lumma-Infostealers beschlagnahmt und die Funktion lahm gelegt. Die Malware ist f\u00fcr zahlreiche Cyberangriffe auf Nutzer mit Abgreifen von Informationen verantwortlich und es waren fast 400.000 PC infiziert. Erg\u00e4nzung:<\/strong> Teile der Infrastruktur haben \u00fcberlebt.<\/p>\n

<\/p>\n

Was ist der Lumma Stealer?<\/h2>\n

\"\"Der Lumma Stealer (auch als LummaC2 Stealer bezeichnet) ist eine in C geschriebene Malware, die Daten von den Systemen der Opfer abgreift (Infostealer). Die Malware wird laut dieser Quelle<\/a> seit mindestens August 2022 \u00fcber ein Malware-as-a-Service-Modell (MaaS) in russischsprachigen Foren angeboten.<\/p>\n

Es wird vermutet, dass er von dem Bedrohungsakteur \u201eShamel\" entwickelt wurde, der auch unter dem Pseudonym \u201eLumma\" auftritt. Microsoft bezeichnet den Akteur, der Lumma als Malware-as-a-service (MaaS) anbietet, als\u00a0Storm-2477.<\/p>\n

Partner, die Storm-2477 f\u00fcr den Dienst bezahlen und ihre eigenen Lumma-Kampagnen betreiben, erhalten Zugang zu einem Panel, um die Malware-Bin\u00e4rdatei zu erstellen und die C2-Kommunikation und die gestohlenen Informationen zu verwalten. Microsoft gibt an<\/a>, dass Ransomware-Bedrohungsakteure wie Octo Tempest, Storm-1607, Storm-1113 und Storm-1674 den Lumma Stealer in Kampagnen einsetzen.<\/p>\n

Der Lumma Stealer zielt in erster Linie auf Kryptow\u00e4hrungs-Walltes (digitale Geldb\u00f6rsen) und Browser-Erweiterungen mit Zwei-Faktor-Authentifizierung (2FA) ab. Gelingt die Infektion, stiehlt die Malware sensible Informationen vom Rechner des Opfers.<\/p>\n

Im Gegensatz zu fr\u00fcheren Infostealern, die sich zur Verbreitung auf Massen-Spam oder Exploits st\u00fctzten, verwendet der Lumma Stealer unterschiedliche Verbreitungsstrategien. Die Betreiber sind einfallsreich und die Verteilungsinfrastruktur des Lumma Stealer ist flexibel und anpassungsf\u00e4hig. Die Betreiber verfeinern ihre Techniken st\u00e4ndig, indem sie b\u00f6sartige Dom\u00e4nen rotieren lassen, Werbenetzwerke ausnutzen und legitime Cloud-Dienste einsetzen, um sich der Entdeckung zu entziehen und die Betriebskontinuit\u00e4t aufrechtzuerhalten. Diese dynamische Struktur erm\u00f6glicht es den Betreibern, den Erfolg ihrer Kampagnen zu maximieren und gleichzeitig die R\u00fcckverfolgung oder Zerschlagung ihrer Aktivit\u00e4ten zu erschweren.<\/p>\n

Gelingt eine Infektion, versucht die Malware an sensible Daten (aus Crypto-Wallets etc.) zu gelangen.\u00a0Sobald die angestrebten Daten von Lumma gelesen wurden, werden sie \u00fcber HTTP-POST-Anfragen mit dem Benutzeragenten \"TeslaBrowser\/5.5\" an einen C2-Server exfiltriert. Der Stealer verf\u00fcgt au\u00dferdem \u00fcber einen nicht residenten Loader, der zus\u00e4tzliche Nutzdaten \u00fcber EXE, DLL und PowerShell bereitstellen kann.<\/p>\n

\"Lumma
\nLumma-Infektionen weltweit (Quelle: ESET)<\/p>\n

Die Malware galt in den vergangenen zwei Jahren als einer der am weitesten verbreiteten Infostealer weltweit. Obige, von ESET ver\u00f6ffentlichte Grafik zeigt die Infektionsgrade in einzelnen L\u00e4ndern. Speziell die USA, Mexiko, Spanien und Polen stechen durch hohe Infektionsraten hervor. Allerdings t\u00e4uscht die Einf\u00e4rbung – ich habe Karten gesehen, die f\u00fcr Europa eine hohe Infektionsrate belegen.\u00a0Insgesamt waren weltweit wohl \u00fcber 394.000 PCs mit der Malware infiziert.<\/p>\n

Lumma-Infrastruktur zerschlagen<\/h2>\n

Mit der Hilfe Microsofts und ESETs gelang es den US-Strafverfolgungsbeh\u00f6rden die Strukturen des Lumma Stealers zu analysieren und dann in einer weltweiten Aktion die Command & Control-Server (C&C) zu beschlagnahmen.<\/p>\n

Microsoft und ESET analysieren Infrastruktur<\/h3>\n

Sicherheitsanbieter ESET hat in den letzten Jahren automatisiert Zehntausende von Lumma Stealer-Samples analysiert, um Schl\u00fcsselelemente wie C&C-Server und Affiliate-Identifikatoren zu extrahieren. Auf diese Weise konnte man die Aktivit\u00e4t von Lumma Stealer kontinuierlich \u00fcberwachen, Entwicklungsupdates verfolgen, Partnerunternehmen clustern und vieles mehr. ESET hat einen Artikel ESET takes part in global operation to disrupt Lumma Stealer<\/a> mit mehr Details dazu und einer technischen Analyse ver\u00f6ffentlicht.<\/p>\n

Weitergehende Analysen der Lumma Stealer Aktivit\u00e4ten und Infrastruktur erfolgten durch die Microsoft Digital Crimes Unit (DCU), die die Erkenntnisse zum 21. Mai 2025 in den Blog-Beitr\u00e4gen\u00a0Lumma Stealer: Breaking down the delivery techniques and capabilities of a prolific infostealer<\/a>\u00a0und\u00a0Disrupting Lumma Stealer: Microsoft leads global action against favored cybercrime tool<\/a> offen gelegt haben.<\/p>\n

Strafverfolger zerschlagen die Lumma-Infrastruktur<\/h3>\n

Am Dienstag, den 13. Mai, reichte Microsofts DCU eine Klage gegen Lumma Stealer (\u201eLumma\") vor einem US-Gericht ein. In der Klage wurde ein Vorgehen gegen die Malware damit begr\u00fcndet, dass der von Hunderten von Cyber-Bedrohungsakteuren bevorzugte Infostealer Passw\u00f6rter, Kreditkarten-Daten, Daten zu Bankkonten und zu Wallets (Geldb\u00f6rsen) f\u00fcr Kryptow\u00e4hrungen stielt. Dies erm\u00f6glichte es Cyberriminellen Schulen zu erpressen, Bankkonten zu leeren und wichtige Dienste zu unterbrechen.<\/p>\n

Zwischen dem 16. M\u00e4rz 2025 und dem 16. Mai 2025 identifizierte Microsoft weltweit \u00fcber 394.000 Windows-Computer, die mit der Luma-Malware infiziert waren.\u00a0Durch eine gerichtliche Anordnung des United States District Court of the Northern District of Georgia hat Microsofts DCU rund 2.300 b\u00f6sartige Domains, die das R\u00fcckgrat der Luma-Infrastruktur bildeten, beschlagnahmt und deren Sperrung erm\u00f6glicht.<\/p>\n

Das Department of Justice (DOJ) beschlagnahmte gleichzeitig die zentrale Kommandostruktur von Lumma und unterbrach die Marktpl\u00e4tze, auf denen das Tool an andere Cyberkriminelle verkauft wurde. Das Europ\u00e4ische Zentrum f\u00fcr Cyberkriminalit\u00e4t (EC3) von Europol und das japanische Kontrollzentrum f\u00fcr Cyberkriminalit\u00e4t (JC3) unterst\u00fctzten die Abschaltung der lokalen Lumma-Infrastruktur.<\/p>\n

Das Ganze erfolgte in Zusammenarbeit mit Strafverfolgungsbeh\u00f6rden (FBI, Europol, JC3) und Industriepartnern (ESET<\/a>,\u00a0Bitsight<\/a>,\u00a0Lumen<\/a>,\u00a0Cloudflare<\/a>,\u00a0CleanDNS<\/a> und GMO Registry<\/a>). Microsoft gibt an, dass man die die Kommunikation zwischen dem Lumma Stealer auf den Systemen der Opfer mit den C&C-Servern der Operatoren unterbrochen habe.<\/p>\n

Mehr als 1.300 von Microsoft beschlagnahmte oder an Microsoft \u00fcbertragene Domains, darunter 300 Domains, die von den Strafverfolgungsbeh\u00f6rden mit Unterst\u00fctzung von Europol eingezogen wurden, wurden dann in Microsoft-Sinkholes umgeleitet. Auf diese Weise kann die DCU von Microsoft verwertbare Informationen bereitstellen, um die Sicherheitsma\u00dfnahmen weiter zu verbessern.<\/p>\n

\"DOJ<\/a><\/p>\n

Details zur Aktion sowie zu den Erkenntnissen aus den durchgef\u00fchrten Analysen finden sich in den in obigem Text verlinkten Artikeln von Microsoft, ESET und anderen Partnern. Eine deutschsprachige Pressemitteilung Microsofts l\u00e4sst sich hier<\/a> abrufen. Die Presseinformation der US-Justiz ist hier<\/a> abrufbar.<\/p>\n

Teile der Infrastruktur haben \u00fcberlebt<\/h2>\n

Von Check Point ist mir im Nachgang noch die erg\u00e4nzende Information zugegangen, dass die Strafverfolger zwar was abgeschaltet haben, aber Teile der Infrastruktur \u00fcberlebt haben.<\/p>\n

Unter dem Titel \"Infostealer Lumma noch nicht zerschlagen\" hat\u00a0Check Point Research (CPR) mich auf neue Entwicklungen nach der vielbeachteten Zerschlagung des Infostealers Lumma durch Europol, das FBI und Microsoft hingewiesen. W\u00e4hrend die Operation Tausende von Domains beschlagnahmte und den Zugang f\u00fcr Lumma-Nutzer unterbrach, warnen die Sicherheitsforscher: Lumma ist am Boden, aber noch nicht am Ende<\/em>.<\/p>\n

Die Strafverfolgungsbeh\u00f6rden sind in das Backend von Lumma eingedrungen, haben Backups \u00fcber eine Schwachstelle in Dells iDRAC gel\u00f6scht und Phishing-Seiten platziert, um Benutzerdaten abzugreifen und sogar den Zugriff auf die Webcam zu versuchen.<\/p>\n

In einem ausf\u00fchrlichen Blog mit Darkweb-Zitaten und Beweisen zeigt CP:\u00a0Teile der Infrastruktur von Lumma, die in Russland gehostet werden, haben die \u00dcbernahme \u00fcberlebt – und die Betreiber sind bereits dabei, den Betrieb wieder aufzubauen.<\/p>\n

Neue gestohlene Zugangsdaten von Lumma werden weiterhin zum Verkauf angeboten, wobei die Zahl der Protokolle nur wenige Tage nach der Operation rapide anstieg. Das hindeutet laut Check Point darauf, dass die Hinterm\u00e4nner versuchen, das Gesch\u00e4ftsmodell von Lumma wieder aufleben zu lassen.<\/p>\n

Das eigentliche Schlachtfeld k\u00f6nnte nun psychologischer Natur sein, da die Beh\u00f6rden versuchen, das Vertrauen zwischen den Betreibern von Lumma und ihren kriminellen Kunden zu zerst\u00f6ren.<\/p>\n

\"Dies ist nicht nur ein technischer Angriff, sondern ein Krieg um das Image\", meint Sergey Shykevich, Threat Intelligence Group Manager bei Check Point. \"Die Entwickler von Lumma versuchen, so zu tun, als sei das Gesch\u00e4ft normal, aber das Vertrauen in die Malware-as-a-Service-Unterwelt ist fragil. Die n\u00e4chsten Wochen werden entscheidend sein.\" Check Point hat die neuen Erkenntnisse in diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In einer koordinierten Aktion haben US-Strafverfolger die Infrastruktur (C & C-Server) des Lumma-Infostealers beschlagnahmt und die Funktion lahm gelegt. Die Malware ist f\u00fcr zahlreiche Cyberangriffe auf Nutzer mit Abgreifen von Informationen verantwortlich und es waren fast 400.000 PC infiziert. Erg\u00e4nzung: … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-311723","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311723","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311723"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311723\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}