כך התנהל מבצע עולמי לסיכול אחת מתוכנות הריגול החמורות בעולם הסייבר

במבצע מתואם עם רשויות בארה”ב, אירופה ויפן – פעילותה של תוכנת Lumma Stealer שותקה, לאחר שגרמה לגניבת מידע רחבת היקף

חברת מיקרוסופט הודיעה השבוע כי הובילה בהצלחה מבצע בינלאומי לסיכול פעילותה של Lumma Stealer – תוכנת ריגול מסוכנת מסוג Malware-as-a-Service, ששימשה בשנים האחרונות לפעולות גניבה רחבות היקף של פרטי התחברות ומידע רגיש של משתמשים פרטיים, חברות וגופים ממשלתיים ברחבי העולם.

המבצע, שהובל על ידי יחידת הפשיעה הדיגיטלית של מיקרוסופט (Digital Crimes Unit), בוצע בשיתוף פעולה עם חברות אבטחת מידע בינלאומיות ובהן ESET, Cloudflare, Lumen, GMO Registry ו־CleanDNS, ונתמך על ידי מחלקת המשפטים של ארצות הברית ויחידות סייבר של יורופול ויפן.

במסגרת הפעולה, נתפסו מאות דומיינים ששימשו את שרתי הפיקוד והשליטה (C&C) של הרשת, במטרה לשתק את תשתית הפעולה של Lumma Stealer ולמנוע גישה של התוקפים למידע הגנוב.

לדברי יאקוב טומאנק, חוקר בכיר ב־ESET, “המערכות האוטומטיות שלנו זיהו אלפי דגימות של הנוזקה, מה שאפשר להבין את מבנה הרשת, לזהות שותפים ולנטר עדכוני קוד בזמן אמת. מדובר בתשתית מהמתוחכמות שנתקלנו בהן”.

הנוזקה, שפעלה במודל מנוי חודשי במחירים של 250–1,000 דולר למשתמש, כללה שוק פעיל בטלגרם למכירת מידע גנוב, עם מערכת דירוג לשותפים. ההפצה בוצעה באמצעות פישינג, תוכנות פרוצות והורדות זדוניות.

בין יוני 2024 למאי 2025 זיהתה ESET יותר מ־3,300 דומיינים ששימשו את התוקפים, עם עשרות דומיינים חדשים מדי שבוע. חלקם השתמשו בתעלות תקשורת מוצפנות כולל שרתי ״Dead Drops״ בטלגרם – שנוטרלו גם הם במסגרת המבצע.

״זהו צעד משמעותי במאבק הכלכלי־טכנולוגי מול תעשיית הפשע המקוון״, נמסר ממיקרוסופט. ״אנו נמשיך לפעול עם שותפינו בעולם כדי להגן על המשתמשים והמערכות הקריטיות״.