La Digital Crimes Unit (DCU) de Microsoft, en coordination avec des partenaires internationaux comme Europol, le DOJ américain et le JC3 japonais, ont frappé fort en s’attaquant au démantèlement de Lumma Stealer, un malware spécialisé dans le vol massif d’identifiants et de données sensibles.
Utilisé comme un Malware-as-a-Service (MaaS), Lumma pouvait s’acheter depuis 2022 sur Internet à travers des forums pour le moins obscures. Il permettait le vol de mots de passe, d’informations bancaires, de cryptomonnaies, et servait d’arme pour des campagnes de ransomware, notamment contre des écoles, des hôpitaux ou des entreprises.
L’opération, appuyée par une décision judiciaire du tribunal fédéral de Géorgie, a permis la saisie de plus de 2 300 domaines malveillants, la désactivation de l’infrastructure de commande du malware, la redirection de 1 300 domaines vers des sinkholes contrôlés par Microsoft et l’interruption des communications entre Lumma et plus de 394 000 machines compromises sous Windows.
400 clients actifs
Lumma était prisé pour sa discrétion, sa modularité et sa capacité à contourner les protections traditionnelles. Il a été exploité dans des campagnes ciblant la finance, la santé, la logistique ou encore les télécommunications. Les cybercriminels pouvaient l’acheter par abonnement, le personnaliser et suivre en ligne les données dérobées. Son créateur présumé, un développeur russe connu sous le pseudonyme « Shamel », aurait revendiqué « 400 clients actifs ».
Microsoft souligne l’importance de perturber les outils clés de l’économie cybercriminelle pour affaiblir durablement les capacités offensives des groupes malveillants. L’entreprise appelle à une coopération internationale renforcée pour réduire les zones de non-droit numérique. Le géant américain en a aussi profité pour rappeler les bonnes pratiques à ses utilisateurs : authentification multifacteur, mise à jour des systèmes de sécurité et vigilance face aux e-mails suspects.
