שובשה פעילות לומה – כלי גניבת המידע הנפוץ בעולם

בשבוע שעבר, מבצע בינלאומי רחב היקף של הרשויות בארה"ב, אירופה, יפן יחד עם חברות טכנולוגיה כמו מיקרוסופט, ESET וקלאודפלייר (Cloudflare), הוסרה התשתית מאחורי לומה סטילר (Lumma Stealer) – שהיוותה את האיום המשמעותי ביותר של גניבת מידע בעולם.

לפי מיקרוסופט – אשר הובילה את המבצע – ההאקרים עשו שימוש בנוזקה כדי לגנוב סיסמאות, כרטיסי אשראי, חשבונות בנק וארנקי קריפטו. בין מרץ למאי השנה, נדבקו 394 אלף מחשבים מבוססי חלונות בנוזקת לומה סטילר.

Over the past year, Microsoft Threat Intelligence observed the persistent growth and operational sophistication of Lumma Stealer, an infostealer malware used by multiple financially motivated threat actors to target various industries. https://t.co/4VkrKnZBJy

— Microsoft Threat Intelligence (@MsftSecIntel) May 21, 2025

עוד השתתפו במבצע: משרד המשפטים האמריקני, EC3 – המרכז האירופי לפשיעת סייבר של היורופול, JC3 – המרכז היפני לפיקוח על פשיעת סייבר, לומן (Lumen Technologies), וכן Orrick, CleanDNS,  BitSigh, ו-GMO Registry.

יחידת הפשיעה הדיגיטלית של מיקרוסופט היא שהובילה את תהליך ההשבתה, ההשעיה, ההחרמה וחסימת הדומיינים הזדוניים שהיוו את עמוד השדרה של תשתית לומה סטילר, באמצעות צו שנתן בית המשפט המחוזי של המחוז הצפוני של ג'ורג'יה. במקביל, משרד המשפטים של ארה"ב החרים גם את לוח הבקרה של הנוזקה, תוך מיקוד בשוק שלה – ובכך גם ברוכשי הנוזקה.

🚨 Europol and @Microsoft have come together to disrupt Lumma Stealer — the world’s largest infostealer.

Together with partners, we’ve cut off cybercriminals from over 394 000 infected devices and seized 1,300+ domains.

Read more ⤵️https://t.co/Fv1V4XLOiY pic.twitter.com/ixdQzQwO7H

— Europol (@Europol) May 21, 2025

לומה סטילר – רוגלה מסוג "נוזקה כשירות" 

לומה סטילר היא רוגלה מסוג "נוזקה כשירות" והמבצע התמקד בתשתית של הנוזקה, ובמיוחד בשרתי הפיקוד והשליטה (C&C) הידועים מהשנה האחרונה. הדבר הוביל לשיתוק חלקי, אך משמעותי, של רשת הבוטים.

בשנתיים האחרונות לומה היתה אחת מנוזקות גניבת המידע הנפוצות ביותר, כך ציינו החוקרים, והמפתחים שלה פיתחו ותחזקו אותה באופן פעיל.

חוקרי ESET זיהו באופן קבוע עדכוני קוד, החל מתיקוני באגים קלים, והמשך בהצפנה ועדכונים לפרוטוקול הרשת. מפעילי הבוטנט גם שמרו באופן פעיל על תשתית הרשת המשותפת. בין יוני 2024 למאי השנה, החוקרים צפו ב-3,353 דומיינים ייחודיים של שרתי שליטה ובקרה שלה, כאשר 74 דומיינים חדשים הופיעו מדי שבוע, בממוצע, כולל עדכונים מזדמנים. במהלך המבצע שובשו, או הוסרו, יותר מ-1,300 דומיינים שכאלה.

במודל "נוזקה כשירות", ההאקרים משלמים כדי לקבל את גרסאות הנוזקה העדכניות ואת תשתית הרשת הנדרשת לקצירת מידע. מודל המנוי המדורג נע במחירים של 250 עד 1,000 דולר לחודש, כאשר כל דרגה כוללת תכונות מתקדמות יותר.

מפעילי הנוזקה יצרו גם שוק בטלגרם, עבור השותפים, עם מערכת דירוג, שמאפשרת למכור מידע גנוב בלא מתווכים. שיטות ההפצה הנפוצות כוללות פישינג, תוכנות פרוצות ומורידי נוזקות אחרים. הנוזקה עושה שימוש במספר מצומצם אך יעיל של טכניקות אנטי-אמולציה, שנועדו לחמוק מזיהוי ולהקשות על מאמציהם של חוקרי אבטחה.

Technical overview of Lumma Stealer service (Storm-2477) by colleagues across several teams: https://t.co/IWz7TQw9gk
Provided capabilities for at least Octo Tempest, Storm-1607, Storm-1113, and Storm-1674.

Info on Microsoft attorneys' legal action from our Digital Crimes Unit… pic.twitter.com/1HQ6pou51A

— Nick Carr (@ItsReallyNick) May 22, 2025

"המפתח העיקרי של הנוזקה מבוסס ברוסיה"

יאקוב טומאנק, חוקר ב-ESET שעוקב וחוקר את פעילותה של הנוזקה, אמר כי "המערכות האוטומטיות שלנו עיבדו עשרות אלפי דגימות שלה וניתחו אותן, כדי לחלץ רכיבים מרכזיים כמו כתובות שרתי פיקוד ושליטה (C&C) ומזהי שותפים. הדבר איפשר לנו לעקוב באופן רציף אחר פעילותה ואחרי עדכוני הפיתוח. משפחות של נוזקות לגניבת מידע מהוות בדרך כלל רק רמז מקדים למתקפות הרסניות בהרבה בעתיד. פרטי ההזדהות שנגנבים הם מצרך יקר ערך בעולם הפשע המקוון, ונמכרים על ידי מתווכי גישה ראשונית לפושעי סייבר נוספים – כולל שותפים בקבוצות כופרה".

סטיבן מסדה, עוזר היועץ המשפטי ביחידת הפשעים הדיגיטליים של מיקרוסופט, אמר כי "המפתח העיקרי של הנוזקה מבוסס ברוסיה ומכונה באינטרנט 'שאמל'. שאמל משווק רמות שירות שונות עבורה, בטלגרם ובפורומי צ'אט אחרים בשפה הרוסית. בהתאם לשירות שפושע סייבר רוכש, הוא יכול ליצור גרסאות משלו של הנוזקה, להוסיף כלים להסתרה ולהפצה שלה, ולעקוב אחר מידע גנוב באמצעות פורטל מקוון".

לדבריו, "בראיון עם חוקר אבטחת הסייבר 'g0njxa' בנובמבר 2023, שאמל שיתף שיש לו כ-400 לקוחות פעילים".