Microsoft hat zusammen mit Partnern und internationalen Sicherheitsbehörden die Infrastruktur hinter der bei Cyberkriminellen sehr beliebten Schadsoftware „Lumma Stealer“ zerschlagen. Das teilten der Softwarekonzern und das Europäische Zentrum zur Bekämpfung der Cyberkriminalität am Mittwochabend mit. Basierend auf einem amerikanischen Gerichtsbeschluss habe die „Digital Crimes Unit“ Microsofts knapp 2300 Webseiten vom Netz genommen, über die Hacker Passwörter, Kreditkarteninformationen, Bankzugangsdaten oder Kryptowährungskonten gestohlen hatten. Das amerikanische Justizministerium habe zeitgleich die Steuerungsinfrastruktur hinter der Schadsoftware und zahlreiche Marktplätze abgeschaltet, über die die Software an andere Kriminelle verkauft wurde. Ähnliche Maßnahmen trafen die Sicherheitsbehörden in Europa und Japan.
Lumma ist eine sogenannte „Malware-as-a-service“ und nimmt damit in der hochgradig arbeitsteiligen Ökonomie der Cyberkriminellen eine entscheidende Rolle ein. Es handelt sich nach Aussage von Europol um die größte Schadsoftware zum Klau von Informationen der Welt. „Kunden“ erhalten für eine Abonnementgebühr oder eine einmalige Zahlung vorgefertigte und sofort einsetzbare Schadsoftware. Lumma beispielsweise war sogar in verschiedenen Preisstufen zwischen 250 Dollar und 20.000 Dollar erhältlich, je nach zusätzlichen Diensten und Werkzeugen zur Auswertung der geklauten Daten. Die teuerste Stufe versprach Zugriff auf den Quellcode der Schadsoftware.
Mit diesem Rundumpaket können Kriminelle auch ohne große technische Kenntnisse eigene Angriffe auf Unternehmen, Behörden und Institutionen starten. Die von Lumma auf infizierten Rechnern gesammelten Informationen und Zugangsdaten können die Angreifer dann entweder selbst ausnutzen oder beispielsweise an sogenannte Ransomware-Angreifer weiterverkaufen. Dabei infiltrieren die Cyberkriminellen die Systeme von Unternehmen oder Behörden mit Hilfe der gestohlenen Zugangsdaten, verschlüsseln möglichst viele und wichtige Daten und verlangen dann Lösegeld für deren Entschlüsselung.
Raffinierte Verbreitungsmethoden
Strafverfolgungsbehörden haben in den vergangenen Jahren ihre Taktik gegenüber Cyberkriminellen geändert: Weil sich die Verhaftung einzelner Akteure ob ihrer Herkunftsländer oft als schwierig erweist, zerstören die Strafverfolger stattdessen die Infrastruktur der Hacker, um ihnen das Leben und Geld verdienen so schwer wie möglich zu machen. „Diese Operation ist ein klares Beispiel dafür, wie öffentlich-private Partnerschaften den Kampf gegen Cyberkriminalität verändern“, sagte Edvardas Šileris, der das Europäische Zentrum zur Bekämpfung der Cyberkriminalität leitet.
Lumma ist 2022 zum ersten Mal in Erscheinung getreten und gelangte unter anderem über Installationen gefälschter Kopien beliebter Anwendungen wie ChatGPT, Phishing-E-Mails oder gefälschte sogenannte Captcha-Seiten auf die Endgeräte der Nutzer. Diese Tests sollen eigentlich über Bilderrätsel oder ähnliches feststellen, ob hinter einem Nutzer tatsächlich ein Mensch steckt. Stattdessen übertrugen die Kriminellen aber nach erfolgreicher Verifizierung die Schadsoftware auf die Geräte ihrer ahnungslosen Opfer.
Allein in den zwei Monaten zwischen dem 16. März 2025 und dem 16. Mai 2025 hat Microsoft auf der ganzen Welt mehr als 394.000 mit Lumma infizierte Computer identifiziert. Lumma sei leicht zu verteilen, schwierig zu erkennen und könne gewisse Cybersicherheitsschranken umgehen, schreiben die Fachleute von Microsoft. Das mache die Malware so beliebt bei Kriminellen. Lumma sei Teil mehrerer Angriffe auf kritische Infrastruktur gewesen.
Der Hauptentwickler der Schadsoftware arbeitet den Erkenntnissen verschiedener IT-Sicherheitsfachleute zufolge aus Russland und nennt sich im Netz „Shamel“. Seine „Dienstleistung“ vermarktet er unter anderem über Telegram und andere russischsprachige Chatforen. Dafür hat er sogar ein eigenes Logo entwickelt: ein weißer Vogel auf blauem Grund, der „Frieden, Leichtheit und Ruhe“ symbolisieren solle. „Mit uns Geld zu verdienen ist genau so einfach“ lautet der passende Slogan dazu. Nach eigenen Angaben hatte „Shamel“ im November 2023 um die 400 aktive „Kunden“.
