Microsoft e DOJ smantellano la rete malware Lumma Stealer

Microsoft e il Dipartimento di Giustizia americano (DOJ) hanno inflitto un colpo significativo al mondo del cybercrimine smantellando l’infrastruttura di Lumma Stealer, uno dei più pericolosi malware in circolazione.

Questa operazione, frutto di una collaborazione internazionale senza precedenti, ha portato all’eliminazione di circa 2.300 domini malevoli e alla disattivazione di cinque centri di comando e controllo fondamentali per le attività criminali. Secondo i dati raccolti, il malware ha compromesso oltre 394.000 dispositivi Windows in soli tre mesi, tra marzo e maggio 2025.

Il DOJ ha documentato almeno 1,7 milioni di casi di furto di informazioni sensibili, con conseguenze devastanti su istituzioni critiche come scuole, ospedali e infrastrutture essenziali. L’operazione è stata resa possibile grazie a un’ordinanza emessa dal tribunale del Distretto Settentrionale della Georgia, che ha autorizzato Microsoft a neutralizzare l’infrastruttura digitale utilizzata dai cybercriminali. I domini sequestrati ora reindirizzano gli utenti a una pagina che notifica il sequestro governativo.

Microsoft e DOJ contro Lumma Stealer: eliminati 2.300 domini dannosi

Europol, attraverso il suo Centro Europeo per la Criminalità Informatica, ha svolto un ruolo cruciale nella coordinazione degli sforzi a livello regionale, insieme al JC3 giapponese. La collaborazione tra pubblico e privato è stata determinante: aziende come Bitsight, Cloudflare, ESET e altre hanno fornito supporto nell’identificazione e neutralizzazione dell’infrastruttura criminale.

Attivo dal 2022, Lumma Stealer (noto anche come LummaC2) si è diffuso rapidamente grazie alla sua commercializzazione su forum clandestini e canali Telegram come servizio di Malware-as-a-Service. La sua facilità d’uso, unita a potenti strumenti di offuscamento, lo rende particolarmente insidioso. Il malware viene distribuito principalmente attraverso campagne di phishing, siti web contraffatti e tecniche di malvertising. Questi metodi sofisticati permettono ai criminali di colpire un ampio spettro di vittime, dai singoli utenti alle grandi organizzazioni.

La peculiarità di Lumma Stealer risiede nella sua capacità di offrire ai cybercriminali un’esperienza “chiavi in mano”. Questo include opzioni di personalizzazione, strumenti per il monitoraggio delle vittime e persino un servizio di assistenza clienti. Secondo Microsoft, il malware è collegato al famigerato gruppo Octo Tempest, noto anche come Scattered Spider. Gli investigatori ritengono che lo sviluppatore principale, che opera sotto lo pseudonimo “Shamel”, sia attivo in Russia.