(https://i.postimg.cc/3wzYXSHx/Justice.png) (https://postimages.org/)
Microsoft, en una operación global con el apoyo de las fuerzas del orden internacionales, ha desmantelado una importante red de distribución de malware responsable del robo generalizado de credenciales, fraude financiero y ataques de ransomware. La operación se centró en Lumma Stealer, un malware de robo de información utilizado por cientos de actores de amenazas para robar información confidencial de casi 400.000 dispositivos Windows infectados.
En este esfuerzo coordinado participaron la Unidad de Delitos Digitales (DCU) de Microsoft, el Departamento de Justicia de EE. UU., Europol y socios de ciberseguridad del sector privado. Juntos, se incautaron más de 2.300 dominios y desmantelaron la infraestructura de Lumma, cortando la conexión entre los atacantes y sus víctimas.
Una operación de malware como servicio con alcance global
Lumma Stealer se ha comercializado en foros clandestinos desde al menos 2022 como una solución lista para usar para ciberdelincuentes que buscan robar todo, desde contraseñas y números de tarjetas de crédito hasta monederos de criptomonedas y credenciales bancarias. Su facilidad de uso y adaptabilidad le han permitido ganar popularidad entre los actores de amenazas, incluyendo grupos de ransomware de alto perfil como Octo Tempest.
La herramienta se suele propagar mediante campañas de phishing, publicidad maliciosa y cargadores de malware. En una campaña a principios de este año, los atacantes suplantaron a Booking.com para engañar a las víctimas y hacer que descargaran archivos con malware, una táctica que sigue engañando incluso a usuarios experimentados.
El equipo de Inteligencia de Amenazas de Microsoft ha seguido de cerca las actividades de Lumma, identificando patrones de infección generalizados desde marzo hasta mayo de 2025. Los mapas de calor compartidos por la compañía ilustran la presencia global de este malware, con una alta concentración de dispositivos infectados en Norteamérica, Europa y partes de Asia.
Acciones legales e incautación de infraestructura
Según la publicación del blog de Microsoft, el 13 de mayo, Microsoft presentó una demanda ante el Tribunal de Distrito de EE. UU. para el Distrito Norte de Georgia, obteniendo una orden judicial para bloquear e incautar los dominios maliciosos vinculados a la estructura de mando de Lumma. Simultáneamente, el Departamento de Justicia tomó el control de la infraestructura central, y las fuerzas del orden de Europa y Japón cerraron los servidores locales que respaldaban la operación.
Más de 1300 dominios ya han sido redirigidos a servidores controlados por Microsoft, conocidos como sinkholes, que recopilan información para proteger a los usuarios y respaldar las investigaciones en curso. Esta medida impide que el malware transmita datos robados o reciba instrucciones de los atacantes.
Cuenta de Telegram vinculada a Lumma Stealer también incautada
(https://hackread.com/wp-content/uploads/2025/05/IMG_2864.jpeg)
El negocio detrás del malware
Lumma no era solo malware, era un negocio. Ofrecía servicios que iban desde herramientas básicas para el robo de credenciales por 250 dólares hasta acceso completo al código fuente por 20.000 dólares. Su creador, conocido en línea como "Shamel", gestionaba la operación como una startup, promocionando Lumma con un distintivo logotipo de pájaro y eslóganes que minimizaban sus intenciones maliciosas.
En una entrevista de 2023 con un investigador de seguridad, Shamel afirmó tener 400 clientes activos. Su presencia pública, a pesar de su participación en fraudes generalizados, refleja un problema más amplio: los ciberdelincuentes operan con impunidad en jurisdicciones que no priorizan la aplicación de la ley ni la cooperación internacional.
Respuesta de la industria y avances
El esfuerzo para desmantelar Lumma contó con el apoyo de una amplia gama de empresas, como ESET, Cloudflare, Lumen, CleanDNS, BitSight y GMO Registry. Cada una de ellas desempeñó un papel importante en la identificación de la infraestructura, el intercambio de información sobre amenazas y la ejecución de desmantelamientos de forma rápida y eficiente.
Aviso sobre los sitios incautados por las autoridades (Vía Microsoft)
(https://hackread.com/wp-content/uploads/2025/05/microsoft-dismantle-lumma-stealer-domain-seized-1.png)
"Esto demuestra el poder de la colaboración entre las fuerzas del orden y la industria", afirmó Thomas Richards, director de Práctica de Seguridad de Infraestructura de Black Duck, una firma de ciberseguridad con sede en Massachusetts. "Desmantelar esta operación protegerá a cientos de miles de personas. Pero igual de importante es el seguimiento, que garantiza que las víctimas reciban alerta y apoyo".
Richards añadió que el crecimiento del mercado de malware como servicio en los últimos años requiere una colaboración constante entre sectores para limitar el daño de estas herramientas.
Fuente:
HackRead
https://hackread.com/microsoft-dismantle-lumma-stealer-domain-seized/