Cloudflare neemt deel aan de wereldwijde actie om Lumma Stealer te ontwrichten
Dreigingsrapport - 21 mei 2025
Overzicht
Het Cloudforce One- en Trust and Safety-team van Cloudflare hebben deelgenomen aan een gecoördineerde verstoring van de malware-acties van Lumma Stealer. Lumma Stealer (ook bekend als LummaC2) maakt deel uit van een bredere categorie malware die informatie steelt en een ernstige dreiging vormt voor zowel individuen als organisaties. Door het stelen van inloggegevens, cryptocurrency-portefeuilles, cookies en andere gevoelige gegevens van geïnfecteerde machines, faciliteert Lumma een breed scala aan criminele activiteiten, waaronder financiële fraude, identiteitsdiefstal en inbreuken op bedrijfssystemen die tot ransomware kunnen leiden. Het is essentieel om dit ecosysteem te ontwrichten om gebruikers te beschermen, de cybercriminaliteitseconomie te ondermijnen en verdere schade te voorkomen.
Lumma Stealer probeerde de infrastructuur van verschillende serviceproviders, waaronder die van Cloudflare, te misbruiken ter ondersteuning van hun malware-acties. Cloudflare ontdekte het misbruik van Lumma Stealer en nam deel aan een door Microsoft geleide ontwrichtingsactie. Microsoft werkte bij deze inspanning samen met andere particuliere partners in de sector. Het ging hierbij zowel om direct getroffen partijen als om partijen die inlichtingen en technische ondersteuning bieden, samen met het Amerikaanse Ministerie van Justitie, het European Cybercrime Center (EC3) van Europol en het Japanse Cybercrime Control Center (JC3).
Samenvatting
Lumma Stealer is een Malware-as-a-Service-dienst waarmee criminelen toegang tot een controlepaneel kunnen huren. Van daaruit kunnen ze gestolen gegevens ophalen en aangepaste builds van de malware-payload genereren voor distributie naar slachtoffers overal ter wereld.
Lumma Stealer wordt, net als de meeste andere malware die informatie steelt, voornamelijk verspreid via social engineering-campagnes. De doelwitten worden verleid om instructies te volgen, waarna de malware wordt gedownload en geactiveerd.
Dankzij de Lumma Stealer-ontwrichtingsactie hebben de Lumma-operators niet langer toegang tot hun controlepaneel, de marktplaats voor gestolen gegevens of de internetinfrastructuur die wordt gebruikt voor de verzameling en het beheer van die gegevens. Deze acties zorgen voor operationele en financiële kosten voor zowel de Lumma-operators als hun klanten, waardoor zij gedwongen worden hun diensten opnieuw op een alternatieve infrastructuur op te bouwen.
Wat is Lumma Stealer?
Lumma Stealer werd voor het eerst opgemerkt toen het in februari 2023 berichten op de Russischtalige misdaadforums Exploit en XSS plaatste. Het grootste deel van Lumma's zaken wordt nu via Telegram gedaan, waar criminelen toegang tot het controlepaneel met diverse cryptovaluta kunnen kopen. De originele verkoopthread van Lumma, zoals hieronder te zien is, verscheen op misdaadforums en werd gelinkt aan een website die al enige tijd offline was vóór de huidige ontwrichtingsactie.
Exploit-lid Shamel plaatste de originele verkoopthread namens LummaC2
De gestolen inloggegevens die door de beheerders van Lumma werden verzameld, de zogenaamde 'logs', werden geparsed en geïndexeerd voor Lumma's eigen marktplaats. Daar konden criminelen credits met cryptocurrency kopen en op zoek gaan naar lucratieve inloggegevens. De logs van Lumma werden ook door andere criminelen verzameld die de toegang tot hun collecties via Telegram verkochten.
Op de website Lumma Market kunnen gebruikers gestolen inloggegevens zoeken en kopen
Infectiemethoden
De meest recente campagnes gericht op het stelen van informatie maken meestal gebruik van social engineering en niet van het uitbuiten van een kwetsbaarheid. Microsoft en andere beveiligingsonderzoekers hebben een techniek gedocumenteerd die bekend staat als ClickFix. Bij deze aanpak krijgen gebruikers die een gecompromitteerde website bezoeken of schadelijke advertenties tegenkomen, een misleidende pop-up te zien, waarin ze worden gewaarschuwd voor dringende problemen met hun computer. Via de pop-up krijgen gebruikers de opdracht om sneltoetsen te gebruiken waarmee een extern PowerShell-script wordt gestart, dat vervolgens een payload, zoals LummaC2, downloadt en activeert.
De payloads van Lumma worden doorgaans verspreid via pay-per-install (PPI)-netwerken of via verkeersverkopers die installaties als een service leveren. De prijs hangt doorgaans af van de locatie van de installatie en of het doelapparaat een mobiele telefoon of een desktopcomputer is. Lumma en vele andere informatiedieven worden vaak meegeleverd met gekraakte versies van populaire commerciële software. Ze richten zich op gebruikers die niet willen betalen voor legitieme licenties. Om het nog erger te maken, steken de operators achter LummaC2 veel moeite in het omzeilen van de detectie van hun malware door populaire antivirus-oplossingen.
De activiteiten van Lumma Stealer beperken
Om Lumma Stealer goed te kunnen bestrijden, is een gelaagde beveiligingsaanpak nodig. Het is namelijk een snel evoluerende infostealer die vaak verspreid wordt via malvertising, phishing of gecompromitteerde software. Bedrijfsverdedigers moeten de toegang tot nieuwe domeinen zorgvuldig beperken, aangezien nieuw geregistreerde domeinen (NRD's) veel door LummaC2 worden gebruikt. Gebruikers buiten een bedrijf kunnen overwegen om de uitvoering van PowerShell en andere scripts te beperken of te voorkomen als dit niet nodig is. Bedrijfsverdedigers moeten ook rekening houden met het volgende:
Eindpuntbescherming en -verharding
Sta gebruikers niet toe uitvoerbare bestanden van niet-vertrouwde websites te downloaden
Sta gebruikers niet toe om scripts of Microsoft Office-macro's te downloaden of uit te voeren die van het internet werden gedownload, niet zijn ondertekend zijn of door het bedrijfsbeleid niet expliciet toegestaan zijn
Gebruik betrouwbare eindpuntdetectie en -response (EDR)-tools die verdacht gedrag kunnen detecteren, zoals het scrapen van inloggegevens of onbevoegde toegang tot bestanden
Gebruik een toepassingstoestemmingslijst om te voorkomen dat onbekende uitvoerbare bestanden (inclusief gedownloade payloads) worden geactiveerd
Schakel PowerShell uit voor niet-administratieve gebruikers of gebruik de Constrained Language-modus om het risico op misbruik te verminderen
Browser- en inloggegevens opschonen
Vermijd het opslaan van wachtwoorden in browsers; gebruik in plaats daarvan een gespecialiseerde wachtwoordbeheerder.
Wis de autofill-gegevens en browsercaches regelmatig
Schakel de autofill-functie voor gevoelige informatie zoals namen, telefoonnummers of adressen uit, vooral op bedrijfsmachines
Regelmatig patchen en updaten
Zorg ervoor dat browsers, besturingssystemen en alle software up-to-date zijn om de kans op misbruik via bekende kwetsbaarheden te verkleinen
DNS en netwerkfiltering
Gebruik veilige DNS-filtering en op dreigingsinformatie gebaseerde blokkeerlijsten om verbindingen te voorkomen met NRD's, bekende C2-servers, malware-afleverdomeinen en de Telegram API's die voor data-exfiltratie worden gebruikt
E-mail- en webfiltering
Implementeer detectie van kwaadaardige bijlagen en links in e-mailgateways
Zorg voor browser isolation of sandboxing om het risico op drive-by-downloads door malvertising te verminderen
Gebruikerstraining
Informeer gebruikers over malvertising, valse software-installatieprogramma's en browser-scareware-tactieken zoals ClickFix, die vaak worden gebruikt om malware af te leveren
Waarschuw gebruikers, zodat ze geen PowerShell-scripts activeren of op pop-ups klikken met instructies om computerproblemen 'op te lossen'
Detectie- en dreigingsjacht
Let op ongebruikelijke uitgaande verbindingen (vooral naar Telegram of zeldzame domeinen)
Controleer op ongeautoriseerde toegang tot inloggegevens via browsers
Controleer op verdachte PowerShell- of process-spawning-activiteiten (bijv. explorer.exe die powershell.exe spawnt)
De Lumma Stealer-respons coördineren
De diensten van Cloudflare beschermen de internet property's van hun klanten tegen DDoS en andere aanvallen. Voor de levering van deze bescherming zijn de originele IP-adressen van de klanten van Cloudflare niet noodzakelijkerwijs zichtbaar voor bezoekers aan de website. Lumma Stealer maakte misbruik van deze infrastructuurfunctie van Cloudflare om het oorspronkelijke IP-adres van de server te verbergen dat criminelen gebruikten om de bestanden en inloggegevens te verzamelen die door malware waren gestolen. Het Trust and Safety-team van Cloudflare signaleerde herhaaldelijk domeinen die door de criminelen werden gebruikt en schorste hun accounts. In februari 2025 werd vastgesteld dat de malware van Lumma de tussenliggende waarschuwingspagina van Cloudflare omzeilde. Dit is een van de maatregelen die Cloudflare gebruikt om kwaadwillende partijen te dwarsbomen. Als reactie hierop voegde Cloudflare de Turnstile-service aan de tussenliggende waarschuwingspagina toe, zodat de malware deze niet kon omzeilen.
De tussenliggende waarschuwingspagina van Cloudflare heeft nu Turnstile-verificatie
Cloudflare speelde een rol bij de ontwrichting door een nieuwe, op Turnstile gebaseerde tussenliggende waarschuwingspagina te plaatsen voorafgaand aan de command- and control-serverdomeinen van kwaadwillende partijen en de Marketplace-domeinen van Lumma. Bovendien ondernam Cloudflare actie tegen de accounts die werden gebruikt om de domeinen te configureren. Wanneer een crimineel misbruik probeert te maken van de naamservices van Cloudflare, maar niet van de registratieservices van Cloudflare, kan hij normaal gesproken de controle over zijn domeinen terugkrijgen door de Start of Authority bij de registratie te wijzigen. Microsoft coördineerde de verwijdering van Lumma's domeinen met meerdere relevante registers om ervoor te zorgen dat de criminelen niet zomaar de naamservers konden wijzigen en zo de controle terug konden krijgen.
Voor meer informatie over toegang tot de lijst met Lumma Stealer-indicatoren en aanvullende, bruikbare context kunt u terecht op ons Threat Events-platform dat beschikbaar staat aan Cloudforce One-klanten.
