Lumma Stealer in ginocchio: l'operazione coordinata da Microsoft che ha smantellato la rete del più diffuso infostealer al mondo

Un'operazione coordinata a livello mondiale, con il coinvolgimento di Microsoft e le forze dell'ordine di diverse giurisdizioni, ha portato allo smantellamento di Lumma Stealer, considerato il più grande infostealer attualmente in circolazione. La divisione Digital Crimes Unit (DCU) di Microsoft ha avviato un'azione legale contro Lumma Stealer il 13 maggio 2025, ottenendo un'ordinanza dal Tribunale Distrettuale degli Stati Uniti del Distretto Settentrionale della Georgia. Questo provvedimento ha consentito il sequestro di circa 2.300 domini dannosi che costituivano la spina dorsale dell'infrastruttura di Lumma.

Parallelamente il Dipartimento di Giustizia degli Stati Uniti ha sequestrato la struttura di comando centrale di Lumma, mettendo fuori uso i mercati online dove il malware veniva venduto ad altri criminali informatici. L'operazione ha visto anche la partecipazione attiva del Centro europeo per la criminalità informatica di Europol e del Cybercrime Control Center giapponese, che hanno agevolato la sospensione dell'infrastruttura locale di Lumma nelle rispettive aree geografiche.

Secondo i dati raccolti e divulgati da Microsoft, tra il 16 marzo e il 16 maggio 2025, sono stati identificati oltre 394.000 computer Windows compromessi dal malware Lumma a livello globale. L'operazione ha permesso di interrompere le comunicazioni tra il malware e i dispositivi compromessi, impedendo così l'ulteriore furto di dati sensibili.

Oltre a Microsoft, Europol, DOJ e JC3, hanno partecipato all'operazione anche diverse società private come Cloudflare, ESET, CleanDNS, Bitsight, Lumen, GMO Registry e lo studio legale globale Orrick. Edvardas Šileris, direttore del Centro europeo per la criminalità informatica di Europol, ha sottolineato l'importanza di questa collaborazione: "Questa operazione è un chiaro esempio di come i partenariati pubblico-privati stiano trasformando la lotta alla criminalità informatica. Combinando le capacità di coordinamento di Europol con le competenze tecniche di Microsoft, è stata smantellata una vasta infrastruttura criminale. I criminali informatici prosperano nella frammentazione, ma insieme siamo più forti."

Diffusione del malware Lumma Stealer - Fonte: Microsoft

Cloudflare (i cui servizi sono stati sfruttati in maniera abusiva dagli operatori di Lumma per nascondere gli indirizzi IP di origine dei server di comando e controllo) ha spiegato che l'operazione ha negato agli operatori di Lumma l'accesso al loro pannello di controllo, al marketplace dei dati rubati e all'infrastruttura Internet utilizzata per facilitare la raccolta e la gestione di tali dati. Queste azioni hanno imposto costi operativi e finanziari sia agli operatori di Lumma che ai loro clienti, costringendoli a ricostruire i loro servizi su infrastrutture alternative.

Lumma Stealer è attivo dalla metà del 2022 e sviluppato presumibilmente da criminali di lingua russa.  Il malware veniva offerto in forma di Malware-as-a-Service tramite canali Telegram, con prezzi di abbonamento che variavano tra i 250 e i 1.000 dollari. La diffusione di Lumma Stealer è avvenuta con diversi mezzi: oltre a sfruttare campagne di phishing via email, il malware è stato distribuito anche tramite falsi commenti su GitHub e addirittura con l'orchestrazione di una sofisticata campagna basata sull'uso di falsi CAPTCHA che inducevano i bersagli a incollare comandi PowerShell nella riga di comando di Windows. Nel corso di questi anni è diventato uno strumento estremamente pericoloso, capace di rubare password, carte di credito, informazioni su conti bancari, chiavi di wallet di criptovalute e altre informazioni sensibili, compromettendo sia i browser web sia varie applicazioni.

Nonostante l'importante passo avanti nella lotta contro le attività criminali informatiche, è comunque necessario realismo: non si tratta di una vittoria definitiva. I moderni malware sono progettati con caratteristiche che ne garantiscono un'elevata resilienza, e la loro architettura prevede componenti strutturali che vengono frequentemente modificati, server di comando e controllo che cambiano quotidianamente e pannelli di controllo facilmente trasferibili su nuove infrastrutture. Tuttavia, il sequestro di domini produce effetti significativi anche al di là dell'impatto tecnico immediato. Queste operazioni minano la credibilità degli strumenti utilizzati dai criminali, riducono la fiducia nella sicurezza di determinate soluzioni malevole e diffondono il timore di essere individuati e arrestati tra i cybercriminali. Un'operazione come quella andata a segno contro Lumma Stealer crea un clima di incertezza che può portare all'abbandono progressivo di specifici malware da parte della comunità criminale, determinandone di fatto l'estinzione, anche quando tecnicamente potrebbero ancora essere operativi.