Bildquelle:https://www.ajc.com/news/2025/05/how-a-global-malware-operation-was-taken-down-from-a-federal-court-in-georgia/
Die Nachrichten schienen harmlos, sogar alltäglich.
Jemand, der sich als potenzieller Gast ausgab, schrieb der Hotel über Fragen zu einem vermeintlichen Kommentar, der auf Booking.com hinterlassen wurde.
Eine weitere Nachricht stammte angeblich von der Buchungsseite, um negatives Gästefeedback zu überprüfen.
Aber all diese Nachrichten waren gefälscht.
Die E-Mails waren Phishing-Betrügereien, die darauf abzielten, den Empfänger dazu zu bringen, bösartige Software auf seinen Computer herunterzuladen, die finanzielle Informationen und Zugangsdaten stehlen könnte.
Jetzt sind ein Technologieriese und Regierungen weltweit dabei, ein Netz von Malware namens Lumma Stealer abzubauen, das laut Behörden hinter diesem Cyberangriff steckt.
Die digitale Infrastruktur von Lumma wird durch eine internationale Operation zwischen Microsoft, dem US-Justizministerium, Europol und dem Cybercrime Control Center Japans abgebaut, so die Aussagen von Microsoft und Dokumente, die am Mittwoch vor dem Bundesgericht in Atlanta veröffentlicht wurden.
Lumma ist „eine der bekanntesten Info-Stealer-Malware, die existiert“, sagte Steven Masada, stellvertretender General Counsel und Direktor der Digital Crimes Unit bei Microsoft, der Atlanta Journal-Constitution.
Im Jahr 2024 infizierte Lumma 1,8 Millionen Hosts oder Geräte, so ein Bericht des Cybersecurity-Unternehmens Flashpoint.
Es handelt sich um eine Art von bösartiger Software, die im Dark Web verkauft wird, um Passwörter, Kreditkartennummern, Bankkonto Informationen und Kryptowährungs-Brieftaschen zu stehlen.
Lumma hat Cyberkriminellen ermöglicht, in Branchen wie Transport, Finanzen und Gesundheitswesen einzudringen, Schulen zu erpressen und Bankkonten zu leeren, so Microsoft.
Lumma ist seit 2022 aktiv und ist Teil des Anstiegs der Cybercrime-as-a-Service-Industrie, erläuterte Masada.
Es funktioniert ein wenig wie andere Softwareunternehmen, die den Kunden monatliche oder jährliche Abonnements zu unterschiedlichen Preisen anbieten, abhängig von der gewünschten Personalisierung und Kontrolle der Software.
Es wurde von Hunderten von Cyberkriminellen und mit Staaten verbundenen Gruppen weltweit eingesetzt, sagte Masada.
Anstatt jemandem zu ermöglichen, ein Textverarbeitungsprogramm oder die Fähigkeit zum Bearbeiten von PDFs zu nutzen, wird Lumma für böse Zwecke verwendet, wie den Cyberangriff unter Verwendung von Booking.com, ein Hauptbeispiel für die Breite und Tiefe der Malware.
„Cyberkriminelle vermarkten und verkaufen ihre Dienstleistungen an andere Cyberkriminelle, um ihre Operationen effektiv zu skalieren“, sagte Masada.
Er bezeichnete Lumma als ein Glied in der Lieferkette der Cyberkriminalität.
Zwischen März und Mai identifizierte Microsoft mehr als 394.000 Windows-Computer weltweit, die von Lumma-Malware infiziert wurden.
Mindestens 532 Computer waren in Georgia betroffen, so Gerichtsdokumente.
Atlanta war eine der am stärksten von Lumma betroffenen Städte in den USA.
Microsoft reichte am 13. Mai eine zivilrechtliche Klage gegen Lumma in Atlanta ein, aufgrund der hohen Anzahl an Opfern in der Region, einschließlich Booking.com, das in der Gegend stark vertreten ist.
Booking.com reagierte nicht sofort auf eine Anfrage zur Stellungnahme.
Microsoft arbeitete mit anderen Cybersicherheitsunternehmen und Strafverfolgungsbehörden zusammen, um Informationen auszutauschen und an verschiedenen Teilen des weitläufigen Netzwerks von Lumma abzubauen.
In der vergangenen Woche erhielt Microsoft ein unter Verschluss stehendes Gerichtsurteil, das ihm erlaubte, etwa 2.300 Domains, die Teil der Infrastruktur von Lumma waren, abzubauen, zu sperren und zu blockieren.
Das Justizministerium störte Lumma’s Marktplatz und beschlagnahmte seine zentrale Kommandoeinheit.
Europols Europäisches Cybercrime-Center und Japans Cybercrime Control Center stellten die Lumma-Infrastruktur in ihren Gerichtsbarkeiten ein.
Microsoft wird die Domains, die es übernommen hat, in eine Cloud umleiten, die von dem Tech-Riesen überwacht wird, um Informationen zu sammeln und möglicherweise mehr infizierte Geräte zu identifizieren, erklärte Masada.
Trotz dieser koordinierten Operation bleiben die Identitäten der Verantwortlichen hinter Lumma ein Rätsel.
Alle Microsoft-Beamten sagen, dass sie nur herausfinden konnten, dass der Hauptentwickler jemand ist, der in Russland ansässig ist und unter dem Alias „Shamel“ bekannt ist, sowie dass es andere Personen gibt, die an der Malware beteiligt sind.
Microsoft erhielt eine vorläufige Unterlassungsverfügung gegen 10 nicht identifizierte Kläger, darunter Shamel, andere Personen, von denen angenommen wird, dass sie Lummas Infrastruktur unterstützen, sowie Kunden der Malware.
Aber wer auch immer hinter Lumma steckt, so Masada, weiß er, dass sie versuchen werden, sich anzupassen und ihre Infrastruktur wieder aufzubauen.
Der Technologieriese hofft schließlich, einen ernannten Gerichtswächter zu bekommen, um Microsoft die Befugnis zu geben, schnell neue Domains zu beschlagnahmen, die möglicherweise von böswilligen Akteuren erstellt werden.
Die Atlanta Journal-Constitution und Report for America arbeiten zusammen, um mehr Journalisten zu gewinnen, die Themen abdecken, die für unsere Gemeinschaft wichtig sind.
Bitte helfen Sie uns, diese wichtige Arbeit hier zu finanzieren.