A Check Point Research identificou sinais de continuidade nas atividades do malware Lumma Infostealer, mesmo após uma operação global que mirou diretamente sua infraestrutura. Coordenada por Europol, FBI, Microsoft e outros parceiros do setor público e privado, a ofensiva teve como resultado, aproximadamente 2.500 domínios utilizados pelo malware foram derrubados. No entanto, análises da CPR revelaram que os servidores de comando e controle (C2) registrados na Rússia continuam operacionais, o que permite a manutenção das atividades criminosas associadas ao malware.
O Lumma Infostealer opera sob o modelo Malware-as-a-Service (MaaS), sendo amplamente utilizado para o roubo de credenciais por cibercriminosos comuns e por grupos sofisticados, como Scattered Spider, Angry Likho e CoralRaider. Durante a operação, relatos em fóruns da Dark Web indicaram que usuários estavam sem acesso às interfaces de controle do malware. Em resposta, o próprio desenvolvedor confirmou a ação policial e afirmou que nenhuma prisão foi realizada, declarando que os serviços estavam sendo retomados.
“Nesse caso, não se trata apenas de uma derrubada técnica — é uma guerra de reputação. Os desenvolvedores do Lumma estão tentando agir como se tudo continuasse como sempre, mas a confiança no submundo do malware como serviço é frágil”, informou Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software.
De acordo com informações divulgadas pelo criador do Lumma, o servidor principal do malware, hospedado em uma localização geográfica protegida, não foi apreendido, mas sim acessado remotamente por meio de uma vulnerabilidade desconhecida no sistema iDRAC da Dell. Através dessa exploração, autoridades conseguiram apagar o servidor e seus backups, além de implantar páginas de phishing e códigos JavaScript com o objetivo de coletar dados dos usuários.
Apesar do impacto técnico relevante, a Check Point Software destaca que o dano reputacional pode ser ainda mais significativo. Como observado em operações anteriores, como a que desmantelou o grupo LockBit, estratégias psicológicas são empregadas para gerar desconfiança entre os membros da comunidade criminosa. No caso do Lumma, foram publicadas mensagens em canais de comunicação do grupo sugerindo que administradores estariam colaborando com as autoridades, o que pode minar relações internas e dificultar sua recuperação.
Também foi identificado pelos especialistas que, mesmo após a data da operação, dados roubados por meio do Lumma continuam sendo comercializados em bots automatizados no Telegram e em lojas digitais do mercado clandestino. Entre os dados havia 202 senhas e 4.177 cookies brasileiros, ao preço de US$ 1.00. Para os pesquisadores, ainda que a operação tenha causado um prejuízo expressivo à infraestrutura do Lumma, o elemento central para o futuro do malware será sua capacidade de restaurar a confiança entre seus afiliados e compradores.
