Thought Leadership
In einer koordinierten Aktion haben das US-Justizministerium, Microsoft und internationale Strafverfolgungsbehörden einen bedeutenden Erfolg im Kampf gegen Cyberkriminalität erzielt.
Die zentrale Infrastruktur des weitverbreiteten Schadprogramms LummaC2, das sensible Daten wie Passwörter und Finanzinformationen stiehlt, wurde erheblich geschwächt. Über 2.300 mit dem Netzwerk verbundene Domains wurden deaktiviert.
Internationale Zusammenarbeit zeigt Wirkung
Die Aktion wurde durch eine enge Kooperation zwischen Microsofts Digital Crimes Unit, Europol sowie den Cybercrime-Zentren in Japan und den USA ermöglicht. Ein Gerichtsbeschluss aus den USA erlaubte nicht nur die Abschaltung von fünf Hauptdomains – sogenannten „User Panels“, über die Angreifer das Schadprogramm steuerten – sondern auch das Blockieren weiterer 2.300 Domains.
Diese Domains dienten als technische Basis für den Betrieb des Schadprogramms. Binnen kürzester Zeit versuchten die Betreiber des Netzwerks, Ersatzinfrastruktur aufzubauen. Die Strafverfolger reagierten jedoch schnell und konnten auch diese neuen Domains unmittelbar nach ihrer Entstehung abschalten.
Millionenfacher Datendiebstahl
LummaC2 ist seit 2022 besonders bei Cyberkriminellen beliebt. Laut FBI wurde das Tool in rund 1,7 Millionen Fällen eingesetzt, um Daten wie gespeicherte Passwörter, Autofill-Informationen und Zugangsdaten zu E-Mail- und Bankkonten sowie Kryptowährungs-Wallets zu stehlen.
Allein in den vergangenen zwei Monaten wurden weltweit über 394.000 Windows-Rechner mit LummaC2 infiziert. Microsoft hat es nun ermöglicht, diese Systeme von der Lumma-Infrastruktur zu trennen, um weitere Datenabflüsse zu verhindern.
LummaC2 wird als sogenannter „Malware-as-a-Service“ (MaaS) angeboten – ein Geschäftsmodell, bei dem Schadsoftware kommerziell an andere Kriminelle vermietet wird. Hinter dem Dienst soll ein Entwickler mit dem Pseudonym „Shamel“ stecken, der laut Microsoft aus Russland stammt.
Über Darknet-Foren und Plattformen wie Telegram wurden verschiedene Nutzungsmodelle für LummaC2 angeboten – mit Preisen zwischen 250 und 20.000 US-Dollar. Je nach Tarif konnten Kunden eigene Versionen der Malware erstellen, Verschleierungsmethoden hinzufügen und gestohlene Daten über ein Online-Portal verwalten.
Globale Bedrohung für Infrastruktur und Privatpersonen
Die Aktivitäten der Lumma-Gruppe beschränkten sich nicht nur auf die USA, sondern erstreckten sich auf Europa, den Nahen Osten und Afrika. Die Malware wurde gezielt eingesetzt, um sowohl Einzelpersonen als auch Unternehmen – darunter kritische Infrastrukturen – auszuspähen.
Die US-Behörden haben als Reaktion eine gemeinsame Sicherheitswarnung veröffentlicht, um Institutionen und Unternehmen vor dem weiteren Einsatz von LummaC2 zu warnen und Gegenmaßnahmen anzustoßen.
Ein Teil der abgeschalteten Domains wird nun auf sogenannte „Sinkholes“ von Microsoft umgeleitet. Diese dienen dazu, den Datenverkehr umzuleiten, zu analysieren und daraus Erkenntnisse für die Verbesserung von Sicherheitsmaßnahmen zu gewinnen. Ziel ist es, Schwachstellen bei Betroffenen zu identifizieren und künftige Angriffe frühzeitig zu verhindern.
Mit der Zerschlagung des Lumma-Netzwerks hoffen die Beteiligten, nicht nur laufende Angriffe zu unterbrechen, sondern auch kriminelle Einnahmequellen langfristig zu versiegen.
