出典: Alan Wilson via Alamy Stock Photo
Lumma Stealerマルウェアオペレーションは、サイバー犯罪者の顧客やアフィリエイトにデータを盗むバイナリを配布するために使用されていた5つのインターネットドメインが押収された法執行機関の協力により、停止しました。
マルウェア・アズ・ア・サービスのクライアント向けのユーザーパネルをホストしていた5つのインターネットドメインに加えて、Microsoftは別途、2,300のドメインを摘発し、Lumma Stealerインフラストラクチャの他の部分をホストしていたトラフィックをシンクホール化して分析しました。
Lumma Stealer(別名LummaC2)は、さまざまな種類の資格情報や暗号ウォレット情報を盗むために構築された商業用マルウェアであり、あらゆる情報セキュリティ犯罪に登場します。これにはランサムウェア攻撃、暗号通貨の盗難、ビジネスメール詐欺(BEC)詐欺、アカウント乗っ取り、サイバースパイ活動などが含まれます。これはマルウェア・アズ・ア・サービスモデルで提供され、サイバー攻撃者は月額250ドルから1,000ドルの階層化されたサブスクリプションでマルウェアをレンタルできます。
「LummaC2のようなマルウェアを使用するサイバー犯罪者の一般的なターゲットには、ブラウザデータ、自動入力情報、メールや銀行サービスにアクセスするためのログイン資格情報、仮想通貨ウォレットにアクセスするための暗号通貨シードフレーズが含まれます」と、米国司法省のプレスステートメントで本日の摘発を発表しました。
Lumma Stealerの多面的なサイバー犯罪帝国
ESETによれば、これは活気に満ちた企業であり、Microsoft、BitSight、Lumen Technologies、Cloudflare、CleanDNS、GMO Registryと共にFBIの摘発を支援しました。ESETの分析によれば、Lumma Stealerの開発者は、毎週74の新しいドメインがそのインフラストラクチャの新しい部分をホストするために出現するほど、マルウェアを活発に開発および維持していました。全体として、Lumma Stealerの作者は過去1年間で3,353のユニークなコマンドアンドコントロールドメインを展開しました。
「コードの更新は、軽微なバグ修正から文字列暗号化アルゴリズムの完全な置き換え、ネットワークプロトコルの変更に至るまで定期的に観察されています」と、ESETのブログ投稿で本日発表されました。「オペレーターは共有のデータ流出ネットワークインフラストラクチャも積極的に維持していました。」
新しいC2ドメインの週ごとの数。出典: ESET
米国司法省によれば、Europolの欧州サイバー犯罪センター(EC3)や日本のサイバー犯罪対策センター(JC3)とも協力して、Lumma Stealerは需要があるだけでなく、実際にはダークウェブ市場で最も人気のある情報スティーラーサービスであり、被害者に対する170万件の既知の攻撃の原因となっています。その人気の理由の一つは、プロフェッショナルなワンストップショップを提供することに対する創作者の献身かもしれません。
関連:Rapid7、企業向けのマネージドディテクション&レスポンス(MDR)を開始
「Lumma Stealerのオペレーターは、仲介者なしで盗まれたデータを販売するためのアフィリエイト向けの評価システムを備えたTelegramマーケットプレイスも作成しました」とESETは述べています。また、「収集された資格情報はサイバー犯罪の地下で価値のある商品であり、初期アクセスブローカーによってランサムウェアアフィリエイトを含むさまざまな他のサイバー犯罪者に販売されています。… Lumma Stealerのような情報スティーラーマルウェアファミリーは、通常、将来のはるかに壊滅的な攻撃の前兆に過ぎません。」
ESETのマルウェアアナリストであるJakub Tomanekによれば、この摘発作戦は、感染のリスクがある人々だけでなく、既に感染している人々にも大きな影響を与えるべきです。
「この規模のマルウェアファミリーを妨害することは常に大きな影響を与え、世界中の現在および潜在的な被害者を保護するのに役立ちます」と彼はDark Readingに語りました。「Microsoftのバックエンドにドメインをシンクホール化することにより、この作戦はアクティブな感染に対する実質的な可視性を提供し、数十万台の感染デバイスのセキュリティを向上させます。」
ESETによるLumma Stealerの世界各地での検出率。出典: ESET
Expelの脅威オペレーションディレクターであるJames Shankは、この行動は歓迎されるが、歴史が教えるところによれば、そのような妨害は必ずしも長続きしないため、継続的な努力が必要である可能性が高いと指摘しました。
関連:各国がNATOのロックドシールドサイバー防衛演習を開始
「この最新の努力が持続的な影響を与えるかどうかは時間が教えてくれるでしょう」と彼は声明で述べました。「そして、Lummaの背後にいる犯罪者による脅威をさらに減少させるために、逮捕が迅速に行われることを願っています。」
Tomanekは、Lumma Stealerが回復するためにはブランドの損害もあると指摘し、再興を図るための独自の課題を生み出しています。
「技術的な損害を脇に置いても、この妨害作戦はアフィリエイト間でのオペレーターの評判もターゲットにしました」と彼は言います。「Lumma Stealerのオペレーターの成功と収益は、アフィリエイトネットワークの規模と忠誠心に大きく依存していました。オペレーターがインフラストラクチャをゼロから再構築しようとするかもしれませんが、アフィリエイトの信頼を取り戻す必要があります。」
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 The Day I Found an APT Group in the Most Unlikely Placeでは、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックと、途中で発見した驚きを共有します。今すぐ聞いてみてください!