Microsoft, en partenariat avec le ministère américain de la Justice (DOJ), a fait une étape majeure dans le démantèlement de l'un des outils de cybercriminalité les plus prolifiques actuellement en circulation. L'unité des crimes numériques de Microsoft (DCU) a collaboré avec le DOJ, Europol et plusieurs sociétés mondiales de cybersécurité pour perturber le réseau malware Lumma Stealer – une plate-forme malveillante en tant que service (MAAS) impliqué dans des centaines de milliers de violations numériques dans le monde.
Selon Microsoft, Lumma Stealer a infecté plus de 394 000 machines Windows entre mars et à la mi-mai 2025. Le malware a été un outil favorisé parmi les cybercriminels pour voler des références de connexion et des informations financières sensibles, y compris des portefeuilles de crypto-monnaie. Il a été utilisé pour des campagnes d'extorsion contre les écoles, les hôpitaux et les fournisseurs d'infrastructures. Selon le site Web du DOJ, «le FBI a identifié au moins 1,7 million d'instances où Lummac2 a été utilisé pour voler ce type d'informations.»
Avec une ordonnance du tribunal du tribunal de district américain pour les districts du Nord de Géorgie, Microsoft a abattu environ 2 300 domaines malveillants associés à l'infrastructure de Lumma. Le DOJ a simultanément éliminé cinq domaines Lummac2 critiques, qui ont agi comme des centres de commandement et de contrôle des cybercriminels déploiement du malware. Ces domaines redirigent désormais vers un avis de crise du gouvernement.
L'aide internationale est venue du Centre européen de cybercriminalité d'Europol (EC3) et du JCA3 du Japon, qui a coordonné les efforts pour bloquer les serveurs régionaux. Les entreprises de cybersécurité comme Bitsight, CloudFlare, ESET, Lumen, CleanDNS et le registre OGM ont aidé à identifier et à démanteler l'infrastructure Web.
À l'intérieur de l'opération Lumma
Lumma, également connu sous le nom de Lummac2, fonctionne depuis 2022, peut-être plus tôt, et rend ses logiciels malveillants qui volent les informations disponibles à la vente via des forums cryptés et des canaux télégrammes. Le malware est conçu pour la facilité d'utilisation et est souvent regroupé d'outils d'obscurcissement pour l'aider à contourner les logiciels antivirus. Les techniques de distribution comprennent des e-mails de phisseur de lance, des sites Web de marque usurpés et des publicités en ligne malveillantes appelées «malvertising».
Les chercheurs en cybersécurité affirment que Lumma est particulièrement dangereux car il permet aux criminels de mettre rapidement à l'échelle des attaques. Les acheteurs peuvent personnaliser les charges utiles, suivre les données volées et même obtenir le support client via un panneau d'utilisateur dédié. Microsoft Threat Intelligence a précédemment lié Lumma à un gang notoire d'Octo Tempest, également connu sous le nom de «Spattered Spider».
Dans une campagne de phishing plus tôt cette année, les pirates ont pu spoof booking.com et utilisé Lumma pour récolter des diplômes financiers auprès de victimes sans méfiance.
Qui est derrière?
Les autorités pensent que le développeur de Lumma passe par l'alias «Shamel» et opère à partir de la Russie. Dans une interview en 2023, Shamel a affirmé avoir 400 clients actifs et même se sont vantés sur la marque Lumma avec un logo Dove et le slogan: «Gagner de l'argent avec nous est tout aussi facile.»
Perturbation à long terme, pas un knock-out
Bien que le retrait est important, les experts préviennent que Lumma et des outils comme il sont rarement éradiqués pour de bon. Pourtant, Microsoft et le DOJ disent que ces actions entravent et perturbent gravement les opérations criminelles en coupant leur infrastructure et leurs sources de revenus. Microsoft utilisera les domaines saisis comme des gouffres pour recueillir des renseignements et protéger davantage les victimes.
Cette situation met en évidence la nécessité d'une coopération internationale dans l'application de la cybercriminalité. Les responsables du DOJ ont souligné la valeur des partenariats public-privé, tandis que le FBI a noté que les perturbations autorisées par la cour restent un outil critique dans le livre de jeu de cybersécurité du gouvernement.
Alors que le DCU de Microsoft poursuit son travail, cette répression de Lumma établit un fort précédent pour ce qui peut être accompli lorsque les spécialistes de l'industrie et du gouvernement collaborent pour éliminer les menaces.
Comme de plus en plus de ces organisations sont découvertes et perturbées, n'oubliez pas de vous protéger en modifiant fréquemment vos mots de passe et évitez de cliquer sur des liens des expéditeurs inconnus.
