Siber güvenlik şirketi ESET, son iki yılın bilgi hırsızlarından biri olan Lumma Stealer’a karşı düzenlenen küresel bir operasyonda yer aldı. Microsoft liderliğindeki operasyon, Lumma Stealer altyapısını ve bilinen C&C sunucularını hedef alarak zararlı yazılımın işleyişini etkiledi.
ESET, Lumma Stealer’ın aktif olarak geliştirilip sürdürülmesi nedeniyle operasyona teknik analiz ve istatistiksel bilgiler sağlayarak destek verdi. Şirket, on binlerce örnekten temel veriler çıkarıldığını belirtti.
Microsoft, BitSight, Lumen, Cloudflare, CleanDNS ve GMO Registry ile iş birliği yapılan operasyonun, Lumma Stealer’ın altyapısını hedef aldığı ve işleyişini büyük ölçüde durdurduğu aktarıldı.
ESET araştırmacısı Jakub Tomanek, Lumma Stealer’ı izleyen ve araştıran ekiplerinin on binlerce örneği işleyerek C&C sunucuları gibi temel unsurları çıkardığını ifade etti. Tomanek, bu sayede faaliyetleri izleyebildiklerini, geliştirme güncellemelerini takip edebildiklerini ve benzeri çalışmaları yürütebildiklerini bildirdi. Tomanek, Lumma Stealer gibi bilgi hırsızı zararlı yazılımlarının genellikle gelecekteki saldırıların ön habercisi olduğunu, çalınan kimlik bilgilerinin siber suç yeraltı dünyasında değerli olduğunu ve çeşitli siber suçlulara satıldığını söyledi. Lumma Stealer’ın son iki yıldır yaygın bilgi hırsızlarından biri olduğunu belirten Tomanek, bu küresel operasyonun uzun süreli takipleri sayesinde mümkün olduğunu aktardı. Operasyonun, bilinen tüm Lumma Stealer C&C alan adlarını ele geçirerek bilgi sızdırma altyapısını işlevsiz hale getirmeyi amaçladığını ifade eden Tomanek, operasyonun ardından Lumma Stealer faaliyetlerini ve diğer bilgi hırsızlarını takip etmeye devam edeceklerini bildirdi.
Lumma Stealer geliştiricileri, zararlı yazılımı aktif olarak geliştirmeye devam ediyor. ESET, küçük hata düzeltmelerinden dize şifrelemesinin tamamen değiştirilmesine kadar değişen kod güncellemelerini tespit ediyor. Ayrıca, botnet operatörleri paylaşılan ağ altyapısını sürdürüyordu. ESET, 17 Haziran 2024 ile 1 Mayıs 2025 tarihleri arasında, Telegram tabanlı ölü nokta çözümleyicilerine yönelik ara sıra yapılan güncellemeler dahil olmak üzere, her hafta ortalama 74 yeni alanın ortaya çıktığı toplam 3.353 benzersiz C&C alanı gözlemlediğini duyurdu.
Lumma Stealer, abonelik usulü çalışan bir zararlı yazılım olarak tanımlanıyor. İştirakçiler, en son zararlı yazılım yapılarını ve veri sızıntısı için gerekli ağ altyapısını almak için katmanlarına göre aylık bir ücret ödüyor. Fiyatlar, aylık 250 ila 1000 dolar arasında değişiyor. Lumma Stealer’ın operatörleri ayrıca çalınan verileri aracılar olmadan satmak için bir derecelendirme sistemi ile bağlı kuruluşlar için bir Telegram pazarı oluşturdu. Dağıtım yöntemleri arasında kimlik avı, kırılmış yazılım ve diğer zararlı yazılım indiricileri yer alıyor. Lumma Stealer, analizi karmaşık hale getiren anti-emülasyon teknikleri kullanıyor.
Microsoft’un Dijital Suçlar Birimi, ABD Georgia Kuzey Bölgesi Bölge Mahkemesi tarafından verilen bir mahkeme kararıyla Lumma Stealer’ın altyapısını oluşturan alan adlarının kaldırılmasını, askıya alınmasını, el konulmasını ve engellenmesini kolaylaştırdı. ABD Adalet Bakanlığı eş zamanlı olarak Lumma Stealer kontrol paneline el koydu. Bu eylem, Europol’ün Avrupa Siber Suç Merkezi (EC3) ve Japonya’nın Siber Suç Kontrol Merkezi (JC3) ile koordine edildi.
