Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Когда операция ФБР — не ликвидация, а реклама: Lumma живее всех живых (http://txgate.io:443/showthread.php?t=51300570)

WWW 05-28-2025 09:57 AM
<div id="post_message_793947">

После громкого заявления Microsoft и ФБР о полной ликвидации инфраструктуры вредоносной программы Lumma Stealer, казалось, что её история подошла к концу. Однако события, последовавшие за этой операцией, показали совсем иную картину — похороненный инфостилер восстал буквально <a href="https://theravenfile.com/2025/05/23/lumma-stealer-still-active-after-fbi-crackdown/" target="_blank">через несколько часов</a> после официальной зачистки.<br/>
<br/>
21 мая 2025 года Digital Crimes Unit Microsoft совместно с ФБР, Европолом и Минюстом США <a href="https://www.securitylab.ru/news/559583.php" target="_blank">провели крупномасштабную операцию</a> : были изъяты и отключены около 2300 доменов, связанных с Lumma Stealer. На месте некоторых сайтов даже появилось официальное уведомление о конфискации, размещённое силами американского бюро расследований. Однако вместо прекращения деятельности вредоносной платформы, операция стала лишь очередным витком эволюции её теневой инфраструктуры.<br/>
<br/>
Уже 22 мая стало ясно, что Lumma продолжает работать. Домен <b>lummamarket.com</b> по-прежнему доступен и предоставляет доступ к панели управления, где злоумышленники продолжают продавать похищенные данные. Анализ поисковых данных через FOFA показал, что заражённые системы всё ещё взаимодействуют с активными инстансами Lumma Stealer.<br/>
<br/>
Несмотря на частичную зачистку инфраструктуры, разработчики Lumma почти мгновенно восстановили доступ к новым серверам. По данным WHOIS, несколько новых доменов, включая <b>writintrvh.top</b>, <b>fedor-dostoevskiy.com</b> и <b>yuriy-andropov.com</b>, были зарегистрированы в период с 21 по 23 мая — то есть уже после заявленного разгрома сети.<br/>
<br/>
Кроме того, <a href="https://www.securitylab.ru/news/532986.php" target="_blank">телеграм-бот Lumma</a> , через которого осуществляется продажа логов, остался полностью функциональным. 22 мая — через день после вмешательства правоохранителей — бот опубликовал свежую выборку данных, похищенных со 95 заражённых машин из 41 страны. Среди утечек — пароли, cookies и иные конфиденциальные данные. По статистике, больше всего утечек приходится на США (5486 паролей), Бразилию (1558) и Колумбию (534). Что касается cookies, лидирует Бразилия (39124), за ней — США (33 тысячи) и Индия (18359).<br/>
<br/>
В перечне стран, чьи пользователи пострадали от действий Lumma Stealer, значатся десятки государств от Германии и Румынии до Танзании и Камбоджи. В открытом доступе также оказались IP-адреса жертв, что подтверждает масштаб продолжающейся атаки.<br/>
<br/>
Факт активности Lumma подтверждает и их собственное заявление на подпольном форуме, в котором команда выразила пренебрежение действиями ФБР, подчеркнув, что «мы всё равно восстановимся». Поддержка нового набора доменов и смена серверной инфраструктуры показывают, что для опытных операторов вредоносного ПО даже <a href="https://www.securitylab.ru/news/544729.php" target="_blank">масштабные зачистки </a>оказываются временной помехой.<br/>
<br/>
Актуальные индикаторы компрометации (IOC), собранные 22 мая, подтверждают наличие десятков IP-адресов и доменов, к которым подключаются заражённые машины. Среди них — <b>104.21.72.130, 172.67.151.14, lumnew.fun, ancientlum.com </b>и другие.<br/>
<br/>
Пока <a href="https://www.securitylab.ru/glossary/raccoon_stealer/" target="_blank">Lumma Stealer</a> остаётся в строю, доступ к корпоративной сети через похищенные учётные данные становится не вопросом «взлома», а лишь вопросом покупки и входа. Цена подписки на Lumma Stealer по-прежнему невысока, что делает его особенно привлекательным для киберпреступников, включая операторы программ-вымогателей и <a href="https://www.ptsecurity.com/ru-ru/solutions/anti-apt/" target="_blank">APT </a>-группировки.<br/>
<br/>
<a href="https://www.securitylab.ru/news/556026.php" target="_blank">ФБР удалось нанести удар</a> , но не ликвидировать инфраструктуру полностью. Lumma Stealer снова активен, и пока механизмы распространения работают, говорить о победе над этой платформой явно преждевременно.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559742.php" target="_blank">@ SecurityLab </a>
</div>

Artifact 05-28-2025 10:01 AM
<div id="post_message_793947">

После громкого заявления Microsoft и ФБР о полной ликвидации инфраструктуры вредоносной программы Lumma Stealer, казалось, что её история подошла к концу. Однако события, последовавшие за этой операцией, показали совсем иную картину — похороненный инфостилер восстал буквально <a href="https://theravenfile.com/2025/05/23/lumma-stealer-still-active-after-fbi-crackdown/" target="_blank">через несколько часов</a> после официальной зачистки.<br/>
<br/>
21 мая 2025 года Digital Crimes Unit Microsoft совместно с ФБР, Европолом и Минюстом США <a href="https://www.securitylab.ru/news/559583.php" target="_blank">провели крупномасштабную операцию</a> : были изъяты и отключены около 2300 доменов, связанных с Lumma Stealer. На месте некоторых сайтов даже появилось официальное уведомление о конфискации, размещённое силами американского бюро расследований. Однако вместо прекращения деятельности вредоносной платформы, операция стала лишь очередным витком эволюции её теневой инфраструктуры.<br/>
<br/>
Уже 22 мая стало ясно, что Lumma продолжает работать. Домен <b>lummamarket.com</b> по-прежнему доступен и предоставляет доступ к панели управления, где злоумышленники продолжают продавать похищенные данные. Анализ поисковых данных через FOFA показал, что заражённые системы всё ещё взаимодействуют с активными инстансами Lumma Stealer.<br/>
<br/>
Несмотря на частичную зачистку инфраструктуры, разработчики Lumma почти мгновенно восстановили доступ к новым серверам. По данным WHOIS, несколько новых доменов, включая <b>writintrvh.top</b>, <b>fedor-dostoevskiy.com</b> и <b>yuriy-andropov.com</b>, были зарегистрированы в период с 21 по 23 мая — то есть уже после заявленного разгрома сети.<br/>
<br/>
Кроме того, <a href="https://www.securitylab.ru/news/532986.php" target="_blank">телеграм-бот Lumma</a> , через которого осуществляется продажа логов, остался полностью функциональным. 22 мая — через день после вмешательства правоохранителей — бот опубликовал свежую выборку данных, похищенных со 95 заражённых машин из 41 страны. Среди утечек — пароли, cookies и иные конфиденциальные данные. По статистике, больше всего утечек приходится на США (5486 паролей), Бразилию (1558) и Колумбию (534). Что касается cookies, лидирует Бразилия (39124), за ней — США (33 тысячи) и Индия (18359).<br/>
<br/>
В перечне стран, чьи пользователи пострадали от действий Lumma Stealer, значатся десятки государств от Германии и Румынии до Танзании и Камбоджи. В открытом доступе также оказались IP-адреса жертв, что подтверждает масштаб продолжающейся атаки.<br/>
<br/>
Факт активности Lumma подтверждает и их собственное заявление на подпольном форуме, в котором команда выразила пренебрежение действиями ФБР, подчеркнув, что «мы всё равно восстановимся». Поддержка нового набора доменов и смена серверной инфраструктуры показывают, что для опытных операторов вредоносного ПО даже <a href="https://www.securitylab.ru/news/544729.php" target="_blank">масштабные зачистки </a>оказываются временной помехой.<br/>
<br/>
Актуальные индикаторы компрометации (IOC), собранные 22 мая, подтверждают наличие десятков IP-адресов и доменов, к которым подключаются заражённые машины. Среди них — <b>104.21.72.130, 172.67.151.14, lumnew.fun, ancientlum.com </b>и другие.<br/>
<br/>
Пока <a href="https://www.securitylab.ru/glossary/raccoon_stealer/" target="_blank">Lumma Stealer</a> остаётся в строю, доступ к корпоративной сети через похищенные учётные данные становится не вопросом «взлома», а лишь вопросом покупки и входа. Цена подписки на Lumma Stealer по-прежнему невысока, что делает его особенно привлекательным для киберпреступников, включая операторы программ-вымогателей и <a href="https://www.ptsecurity.com/ru-ru/solutions/anti-apt/" target="_blank">APT </a>-группировки.<br/>
<br/>
<a href="https://www.securitylab.ru/news/556026.php" target="_blank">ФБР удалось нанести удар</a> , но не ликвидировать инфраструктуру полностью. Lumma Stealer снова активен, и пока механизмы распространения работают, говорить о победе над этой платформой явно преждевременно.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559742.php" target="_blank">@ SecurityLab </a>
</div>


All times are GMT. The time now is 07:33 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.