Lumma Infostealer kötü amaçlı yazılım operasyonu, Mayıs ayında büyük bir kolluk operasyonunun ardından yavaş yavaş faaliyetlere devam ediyor ve bu da 2.300 alanın ve altyapısının bir kısmının ele geçirilmesiyle sonuçlandı.
Her ne kadar Lumma Hizmet Olarak Kötü Yazılım (MAAS) platformu, Haziran ayının başlarında Infostealer faaliyeti hakkındaki raporlarla onaylandığı gibi, kolluk eyleminden önemli bir kesinti yaşadı, ancak kapanmadı.
Operatörler XSS forumlarındaki durumu hemen kabul ettiler, ancak merkezi sunucularının ele geçirilmediğini (uzaktan silinmiş olmasına rağmen) ve restorasyon çabalarının devam ettiğini iddia ettiler.
Yavaş yavaş, Maas tekrar birikti ve siber suç topluluğuna güven kazandı ve şimdi tekrar birden fazla platformda faaliyete geçme işlemlerini kolaylaştırıyor.
Trend mikro analistlerine göre Lumma, siber güvenlik firmasının telemetrisi altyapının hızlı bir şekilde yeniden inşa edilmesini gösteren neredeyse tövbe öncesi etkinlik seviyelerine geri döndü.
Trend Micro Raporu, "Lumma Stealer ve bununla ilişkili altyapıya karşı kolluk eyleminin ardından ekibimiz, Lumma'nın operasyonlarında açık bir yeniden canlanma belirtileri gözlemledi."
"Ağ telemetrisi, Lumma'nın altyapısının yayından kaldırıldıktan sonraki haftalar içinde tekrar yükselmeye başladığını gösteriyor."
Trend Micro, Lumma'nın kötü niyetli trafiği maskelemek için hala meşru bulut altyapısını kullandığını, ancak şimdi yayından kaldırmalardan kaçınmak için Cloudflare'den alternatif sağlayıcılara, özellikle de Rus tabanlı selektife geçtiğini bildirdi.
Araştırmacılar, Lumma'nın şu anda yeni enfeksiyonlar elde etmek için kullandığı dört dağıtım kanalını vurguladılar ve bu da çok yönlü hedeflemeye tam bir geri dönüş olduğunu gösteriyor.
Lumma'nın önemli bir tehdit olarak yeniden ortaya çıkması, tutuklamalardan veya en azından iddianamelerden yoksun kolluk eyleminin bu kararlı tehdit aktörlerini durdurmada etkisiz olduğunu göstermektedir.
Lumma gibi Maas operasyonları inanılmaz derecede karlıdır ve arkasındaki önde gelen operatörler, kolluk eylemini sadece gezinmeleri gereken rutin engeller olarak görüyorlar.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.
Microsoft Teams Voice Aramaları Matanbuchus kötü amaçlı yazılımları zorlamak için istismar edildi
"Rusya Pazarı", çalınan kimlik bilgileri için bir mağaza olarak ortaya çıkıyor
Atomic MacOS Infostealer kalıcı saldırılar için arka kapı ekledi
'Stargazers' oyuncu şifrelerini çalmak için sahte minecraft modlarını kullanın
Discord Flaw, bilgisayar korsanlarının süresi dolmuş davetiyeleri yeniden kullanmaya izin verir kötü amaçlı yazılım kampanyası
Kaynak: Bleeping Computer