Uma ação coordenada contra a operação de malware como serviço (MaaS) Lumma resultou na apreensão de milhares de domínios e parte da infraestrutura usada por criminosos cibernéticos para roubo de dados. A ofensiva, realizada no início de maio de 2025, contou com a colaboração de empresas de tecnologia e autoridades internacionais.
Leia também
Mercado de cyber industrial crescerá 13,2% ao ano
Fonte de ransomware as a service vaza na dark web
A Microsoft, após ação legal, apreendeu cerca de 2.300 domínios relacionados ao Lumma. Simultaneamente, o Departamento de Justiça dos EUA (DOJ), por meio do FBI, interrompeu os mercados de aluguel do malware e apreendeu seu painel de controle. A Europol e autoridades japonesas também confiscaram servidores localizados na Europa e no Japão.
Entre março e maio de 2025, mais de 394 mil computadores Windows infectados com Lumma foram identificados. Segundo a Microsoft, as ações conjuntas cortaram a comunicação entre os sistemas infectados e os operadores do malware. A Cloudflare destacou que as medidas forçaram os criminosos a reconstruir sua infraestrutura, elevando os custos operacionais e dificultando a continuidade das atividades.
O Lumma, também conhecido como LummaC2, é um infostealer para Windows e macOS vendido por assinatura entre US$ 250 e US$ 1.000. Ele rouba credenciais, cookies, cartões de crédito e dados de navegadores. É distribuído por meio de malvertising, comentários no GitHub e sites de deepfake. Lançado em 2022, tornou-se popular rapidamente e foi usado por grupos como o Scattered Spider.
Relatórios recentes apontam o Lumma como o infostealer mais utilizado em 2025. Além de violações em empresas como PowerSchool, HotTopic, CircleCI e Snowflake, suas credenciais roubadas também foram usadas para ataques de rede, como o sequestro da conta RIPE da Orange Spain.
O FBI e a CISA divulgaram um comunicado conjunto com indicadores de comprometimento e táticas associadas ao Lumma, alertando para a necessidade de vigilância contínua.
