Κρυφό, αόρατο και τρομακτικά αποτελεσματικό: Το Lumma Stealer είναι το ψηφιακό όπλο που χάκερς από όλο τον κόσμο χρησιμοποιούν για να αρπάζουν κωδικούς, πιστωτικές κάρτες, και πορτοφόλια κρυπτονομισμάτων – κι έχει ήδη χτυπήσει σχεδόν 400.000 υπολογιστές με Windows μέσα σε μόλις δύο μήνες!

Η Μονάδα Ψηφιακών Εγκλημάτων (Digital Crimes Unit – DCU) της Microsoft ανακοίνωσε σήμερα (21/5) μια παγκόσμια επιχείρηση εξάρθρωσης του Lumma Stealer, ενός εξαιρετικά δημοφιλούς κακόβουλου λογισμικού τύπου infostealer. Το Lumma αποτελεί αγαπημένο εργαλείο για εγκληματικά δίκτυα και κυβερνοεγκληματίες, καθώς επιτρέπει την υποκλοπή ευαίσθητων προσωπικών δεδομένων σε μεγάλη κλίμακα.

Ο Steven Masada, αναπληρωτής γενικός νομικός σύμβουλος της Microsoft, αποκάλυψε σε σχετικό blog post ότι το Lumma έχει χρησιμοποιηθεί σε συντονισμένες ψηφιακές επιθέσεις τα τελευταία χρόνια για την κλοπή κωδικών πρόσβασης, στοιχείων τραπεζικών λογαριασμών, πιστωτικών καρτών αλλά και πορτοφολιών κρυπτονομισμάτων.

Μόνο μεταξύ 16 Μαρτίου και 16 Μαΐου, η Microsoft εντόπισε πάνω από 394.000 μολυσμένα συστήματα Windows. Η δράση της εταιρείας δεν περιορίστηκε στην παρακολούθηση: Έπειτα από σχετική δικαστική εντολή του Ομοσπονδιακού Δικαστηρίου της Βόρειας Περιφέρειας της Τζόρτζια, η Microsoft προχώρησε στην κατάσχεση 2.300 domains που συνιστούσαν το τεχνικό «οικοσύστημα» του Lumma.

Παράλληλα, το Υπουργείο Δικαιοσύνης των ΗΠΑ επενέβη καταλυτικά, καταλαμβάνοντας την κεντρική υποδομή ελέγχου του Lumma και αποσυναρμολογώντας διαδικτυακές αγορές που διακινούσαν το κακόβουλο λογισμικό.

«Όπως επισημαίνουμε στο blog μας, το Lumma είναι εύκολο στη διανομή, δύσκολο στην ανίχνευση και μπορεί να παρακάμψει ορισμένες άμυνες ασφαλείας, γεγονός που το καθιστά ιδανικό εργαλείο για κυβερνοεγκληματίες και ψηφιακούς επιτιθέμενους», ανέφερε εκπρόσωπος της Microsoft στο Cybersecurity Dive.

Over the past year, Microsoft Threat Intelligence observed the persistent growth and operational sophistication of Lumma Stealer, an infostealer malware used by multiple financially motivated threat actors to target various industries. https://t.co/4VkrKnZBJy

— Microsoft Threat Intelligence (@MsftSecIntel) May 21, 2025

Πρόσθεσε επίσης ότι το Lumma χρησιμοποιείται ως εργαλείο απόκτησης αρχικής πρόσβασης, ανοίγοντας τον δρόμο για περαιτέρω επιθέσεις, όπως ransomware, εξαπάτηση ή κλοπή δεδομένων μεγάλης αξίας.

Ο χάκερ “Shamel” και οι ρίζες του Lumma στη Ρωσία

Οι αρχές έχουν εντοπίσει τον κύριο προγραμματιστή του Lumma, ο οποίος δρά από τη Ρωσία και χρησιμοποιεί το διαδικτυακό ψευδώνυμο “Shamel”. Αν και η ταυτότητά του δεν έχει επίσημα αποκαλυφθεί, η σύνδεσή του με το Lumma είναι καταγεγραμμένη και τεκμηριωμένη.

Το Lumma έχει βρεθεί στο επίκεντρο μερικών από τις μεγαλύτερες ψηφιακές επιθέσεις των τελευταίων ετών. Τον Μάρτιο του 2025, η Microsoft κατέγραψε τη χρήση του Lumma σε κυβερνοεπιθέσεις εναντίον της Booking.com, με στόχο την υποκλοπή στοιχείων χρηστών.

Επιπλέον, το Lumma έχει συσχετιστεί με τη διαβόητη ομάδα κυβερνοεγκλήματος Scattered Spider, που είναι γνωστή για επιθέσεις υψηλού προφίλ σε μεγάλες επιχειρήσεις και παρόχους υπηρεσιών.

Απειλή μέσω cloud: Χρήση του Lumma σε επιθέσεις με Oracle & Tigris

Σύμφωνα με αναφορά της Cato Networks, που δημοσιεύτηκε την Τετάρτη, το Lumma χρησιμοποιήθηκε σε εκστρατεία επιθέσεων τον Φεβρουάριο, κατά την οποία οι δράστες φιλοξενούσαν κακόβουλες ιστοσελίδες μέσω των υπηρεσιών αποθήκευσης αντικειμένων της Tigris και της Oracle.

«Οι κυβερνοεγκληματίες λατρεύουν τα infostealers, επειδή τους επιτρέπουν να στοχεύουν λιγότερο προστατευμένες προσωπικές συσκευές, οι οποίες συχνά περιέχουν αποθηκευμένα εταιρικά credentials και tokens», σημειώνει ο Kristopher Russo, επικεφαλής αναλυτής απειλών στην Unit 42 της Palo Alto Networks.

Σύμφωνα με τον ίδιο, το φαινόμενο της μεσιτείας αρχικής πρόσβασης (initial access brokering) έχει εξελιχθεί σε άκρως επικερδή επιχειρηματική δραστηριότητα, επιτρέποντας σε εγκληματικά δίκτυα να συλλέγουν διαπιστευτήρια σε τεράστια κλίμακα, με ελάχιστο ρίσκο για τους ίδιους.