Malgré les efforts de la police et de Microsoft, Lumma Stealer tient bon. Le virus continue de voler des données et de les revendre aux cybercriminels. Si l’opération de la semaine dernière a échoué à mettre à terre l’infrastructure, elle a sérieusement plombé la réputation des pirates à l’origine du malware…
Fin du mois dernier, une opération d’envergure est venue mettre à mal l’infrastructure de Lumma Stealer, un redoutable virus voleur de données. L’opération, impliquant la justice américaine, Europol et Microsoft, a permis de couper l’accès des pirates aux 300 000 ordinateurs infectés par le malware. Tandis que la justice américaine a pris le contrôle du centre de commandement de l’écosystème, Microsoft a bloqué 1300 sites criminels liés à Lumma Stealer. Pour Europol, l’assaut a considérablement perturbé « une vaste infrastructure criminelle ».
Lumma Stealer tient bon
Malheureusement, il semble que Lumma Stealer soit déjà en train de sortir la tête hors de l’eau. Les chercheurs de Check Point Research indiquent que les serveurs de commandement et de contrôle du virus sont toujours opérationnels. Pire, il s’avère même que le nombre de données volées par Lumma continue d’augmenter. Les marchés de revente de données continuent par ailleurs d’écouler les informations compromises par le virus. C’est notamment le cas sur Telegram, où on constate les signes d’une « reprise d’activité soutenue ».
« Deux jours après l’opération, un robot automatisé sur Telegram, spécialisé dans la vente de données volées par Lumma, proposait déjà 95 journaux issus de 41 pays. Au 29 mai, ce même bot en comptait 406 », détaille Check Point.
Check Point Research explique avoir observé « des efforts importants de la part du développeur Lumma pour rétablir pleinement ses activités d’infostealer et mener ses affaires comme d’habitude ». Il semble que l’opération de démantèlement ne soit pas parvenue à paralyser durablement le virus et ses commanditaires. Hébergée en Russie, la grande majorité de l’infrastructure a échappé aux assauts de la police américaine et de ses partenaires. Selon le créateur de Lumma, le serveur principal n’a pas été saisi.
À lire aussi : 300 000 ordinateurs piratés – Danabot, le virus russe voleur de données, a été détruit
Une réputation ternie
Néanmoins, les experts ont épié une série de conversations entre des pirates qui laissent penser que la réputation de Lumma Stealer a été sérieusement entachée. Bien souvent, les opérations de police font plus de dommages irrécupérables à la réputation d’un malware, et de ses créateurs, qu’à son infrastructure informatique.
Au cours de l’offensive, les forces de l’ordre ont mis en place un piège pour récupérer les données des utilisateurs de Lumma. Les autorités ont mis en ligne une fausse « page de connexion » afin de collecter les informations d’identification des cybercriminels. En clair, les enquêteurs ont lancé une page de phishing pour tenter de remonter jusqu’aux pirates. Cette tactique a considérablement échaudé les hackers qui seraient tentés de se servir à nouveau de Lumma.
Sur les forums criminels, les pirates débattent actuellement de l’avenir du malware. Certains se montrent méfiants et préfèrent ne plus faire confiance au virus. Pour d’autres, l’infostealer va se remettre complétement de l’assaut des autorités.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Check Point