بهطور معمول، وقتی درباره مختل شدن یک عملیات بدافزاری گزارش میدهیم، دلیل آن اقدام نیروهای مجری قانون برای تعطیلی آن است. اما در مورد Lumma Stealer، یکی از بدافزارهای شناختهشده در قالب «بدافزار بهعنوان سرویس» (MaaS) که برای سرقت پسوردها و دادههای حساس مورد استفاده قرار میگیرد، ماجرا متفاوت است — این بار به نظر میرسد خود این عملیات توسط سایر مجرمان سایبری مورد خرابکاری قرار گرفته است.
بدافزار Lumma Stealer که با نامهای دیگر Water Kurita و Storm-2477 نیز شناخته میشود، نخستین بار در سال ۲۰۲۲ مطرح شد و تا پایان سال ۲۰۲۴ طبق گزارش شرکت امنیتی ESET، میزان مشاهده آن با رشدی چشمگیر معادل ۳۶۹ درصد افزایش یافت.
برای مثال، پژوهشگران مایکروسافت در اوایل سال جاری اشاره کردند که گروههای باجافزار بهصورت گسترده از Lumma Stealer در زنجیره حملات خود استفاده میکردند.
واقعیت تلخ این است که Lumma Stealer، که از طریق انجمنهای هک و کانالهای تلگرام برای فروش عرضه میشد، فرایند حمله به کاربران و سازمانها را برای مهاجمان تازهکار بسیار ساده کرده بود؛ از جمله سرقت گذرواژههای ذخیرهشده در مرورگر، دسترسی به کیفپولهای رمزارز و دیگر اطلاعات حساس.
اما همانطور که محققان امنیتی شرکت Trend Micro توضیح دادهاند، خود Lumma Stealer نیز اکنون هدف حمله دیگر مجرمان سایبری قرار گرفته است.
به نظر میرسد افرادی که پشت این عملیات بودهاند داکس (dox) شدهاند — به این معنا که هویتهای واقعی آنها بهصورت عمومی افشا شده است؛ از جمله نام واقعی، اسکن گذرنامه، جزئیات حسابهای بانکی و پروفایلهای شبکههای اجتماعیشان.
این اطلاعات در سایتی با نام “Lumma Rats” منتشر شده است. شاید توسعهدهندگان و مدیران Lumma Stealer اکنون طعنهآمیز بودن این وضعیت را درک کرده باشند — اینکه پس از سالها سرقت دادههای کاربران بیگناه، حالا خودشان قربانی افشای اطلاعات شدهاند.
تأثیر این افشاگری برای Lumma Stealer چشمگیر بوده است: فعالیت آن بهشدت کاهش یافته، کانالهای تلگرام مرتبط با آن نفوذ و تصرف شدهاند، و موارد آلودگی جدید بهمراتب کمتر از گذشته گزارش میشود. مشتریان آن — که خود مجرمان سایبری هستند و از این بدافزار استفاده میکردند — ظاهراً اعتمادشان را از دست دادهاند و به سرویسهای رقیب روی آوردهاند.
اعتبار Lumma Stealer در میان جامعه مجرمان سایبری عملاً به پایینترین حد ممکن رسیده است. و بدون تردید، هیچکس در حوزه امنیت سایبری از سقوط آن متأسف نخواهد شد.
البته، سقوط یک عملیات مجرمانه به معنای از بین رفتن تهدیدات سایبری نیست.
در حال حاضر، سرویسهای بدافزاری رقیب در تلاشاند کاربران سابق Lumma Stealer را به سمت خود جذب کنند؛ برخی حتی صفحات تبلیغاتی منتشر کردهاند که در آن خدمات خود را با Lumma Stealer مقایسه کرده و نقاط ضعف آن را برجسته کردهاند. بنابراین، احتمالاً بسیاری از مجرمان سایبری، سقوط Lumma Stealer را تنها یک مانع موقتی تلقی خواهند کرد.
گرچه این ماجرا در گوشههای تاریک اینترنت رخ داده است، اما درسهای مهمی برای دنیای واقعی دارد.
تمام سازمانها باید درک کنند که اعتبارنامههای سرقتشده (stolen credentials) یکی از آسانترین روشها برای نفوذ هکرها به سیستمهایشان است — بنابراین، احراز هویت چندمرحلهای (MFA) و مدیریت امن گذرواژهها (password managers) باید از اولویتهای اصلی باشند.
تهدید نفوذ سایبری هرگز بهطور کامل از بین نمیرود — فقط شکل و ظاهرش تغییر میکند. آگاهی، چابکی و دفاع چندلایه سه اصل کلیدی برای حفاظت از سازمانها در برابر تهدیدات مداوم هستند.
منبع: https://www.fortra.com/blog/cybercriminals-turn-each-other-story-lumma-stealers-collapse
