La contre-attaque s’organise contre les infostealers, ces programmes malveillants voleurs d’informations sensibles, souvent à l’origine d’autres attaques informatiques. Ce mardi 20 mai, une série d’entreprises emmenées par Microsoft, l’agence européenne de police Europol, les spécialistes japonais de la lutte contre le cybercrime et la justice américaine ont frappé un grand coup contre l’infostealer Lumma.
Cinq domaines de commande et de contrôle ont ainsi été saisis, en deux temps, par la justice américaine.
Une façon d’entraver le fonctionnement du programme. Microsoft a de son côté lancé une action judiciaire pour bloquer et saisir 2300 domaines, considérés comme « l’épine dorsale de l’infrastructure de Lumma ».
La victimologie de l’infostealer Lumma. Graphique Microsoft.
— Gabriel Thierry (@gabrielthierry.bsky.social) 22 mai 2025 à 18:21
« Outil central »
Le géant de Redmond avait identifié, ces trois derniers mois, plus de 394 000 ordinateurs Windows infectés. Le FBI américain a lui observé 1,7 million de vols d’informations de connexion ou d’identifiants crypto, les cibles les plus courantes de ce type de logiciel, imputés à Lumma.
Ce programme était « un outil sophistiqué permettant aux cybercriminels de collecter massivement des données sensibles sur des appareils compromis », rappelle Europol. Elles étaient vendues sur une place de marché dédiée. Faisant ainsi de Lumma « un outil central pour le vol d’identité et la fraude à l’échelle mondiale ». Le logiciel était même considéré comme la menace du genre « la plus importante au monde ».
En France, le point de départ d’une fraude massive aux faux passes sanitaires se situait par exemple dans un programme similaire, Genesis Market. Les accès frauduleux permettant de générer les passes avaient été achetés 25 dollars chacun.
Développeur basé en Russie
Selon Microsoft, le principal développeur de Lumma est un certain « Shamel », une personne basée en Russie. Ce dernier signalait à l’automne 2023 avoir environ 400 clients actifs. Dont, estime l’éditeur, des acteurs malveillants de premier plan, comme les cybercriminels d’Octo Tempest par exemple.
Écrit en C++ et ASM, il s’agit d’un « malware-as-a-service » vendu depuis au moins 2022. Il existe de nombreuses versions, au moins six identifiées par Microsoft.
Outre le géant de Redmond, Eset a apporté son aide, tout comme Bitsight, Lumen, Cloudflare, CleanDNS, et GMO Registry.