El 13 de mayo de 2025, la Unidad de Delitos Digitales (DCU) de Microsoft, en colaboración con socios internacionales, emprendió una acción legal contra Lumma Stealer, una herramienta de malware utilizada por cientos de actores de amenazas cibernéticas. Este malware robaba contraseñas, tarjetas de crédito, cuentas bancarias y monederos de criptomonedas, facilitando actividades delictivas como extorsiones a centros educativos, vaciamiento de cuentas bancarias e interrupción de servicios críticos.
Acciones legales y técnicas coordinadas
Mediante una orden judicial del Tribunal de Distrito de los Estados Unidos del Distrito Norte de Georgia, la DCU de Microsoft incautó y desmanteló la infraestructura principal de Lumma. Simultáneamente, el Departamento de Justicia de EE. UU. incautó la estructura de mando central de Lumma y suspendió la actividad en los mercados donde se vendía esta herramienta a otros ciberdelincuentes. Además, el Centro Europeo de Ciberdelincuencia (EC3) y el Centro de Control de la Ciberdelincuencia de Japón (JC3) facilitaron la suspensión de la infraestructura local de Lumma.
Impacto global del malware
Entre el 16 de marzo y el 16 de mayo de 2025, Microsoft identificó más de 394.000 ordenadores Windows infectados por Lumma en todo el mundo. En colaboración con fuerzas del orden y socios del sector, se interrumpieron las comunicaciones entre la herramienta maliciosa y las víctimas. Además, se incautaron o transfirieron más de 1.300 dominios a Microsoft, incluidos 300 dominios intervenidos por EC3, que serán redirigidos a "sinkholes" de Microsoft para ayudar a reforzar la seguridad de sus servicios y proteger a los usuarios en línea.
¿Qué es Lumma Stealer?
Lumma es un modelo de Malware como Servicio (MaaS), comercializado y vendido en foros clandestinos desde al menos 2022. Sus desarrolladores han lanzado múltiples versiones para mejorar sus capacidades continuamente. Este malware es fácil de propagar, difícil de detectar y puede programarse para eludir ciertas defensas de seguridad, lo que lo convierte en una herramienta atractiva para ciberdelincuentes y actores de amenazas en línea, incluidos grupos de ransomware como Octo Tempest (Scattered Spider).
Lumma se distribuye a través de correos electrónicos de spear-phishing, malvertising y otros vectores, haciéndose pasar por marcas de confianza como Microsoft. Por ejemplo, en marzo de 2025, Microsoft Threat Intelligence identificó una campaña de phishing que suplantaba a la agencia de viajes en línea Booking.com, utilizando múltiples malwares de robo de credenciales, incluido Lumma, para llevar a cabo fraudes y robos con fines lucrativos.
Colaboración internacional y futura vigilancia
La acción conjunta liderada por Microsoft y sus socios está diseñada para ralentizar la velocidad a la que estos actores pueden lanzar sus ataques, minimizar la eficacia de sus campañas y obstaculizar sus beneficios ilícitos, cortando una importante fuente de ingresos. Esta colaboración internacional subraya la importancia de la cooperación entre el sector privado y las agencias gubernamentales para combatir las amenazas cibernéticas globales.
Fuente: https://news.microsoft.com/
