ESET speelt sleutelrol in de verstoring van beruchte infostealer Lumma Stealer

• ESET nam deel aan een wereldwijd gecoördineerde operatie om Lumma Stealer te verstoren.
• De operatie, geleid door Microsoft, richtte zich op de infrastructuur van Lumma Stealer, inclusief alle bekende C&C-servers die het afgelopen jaar werden gebruikt, waardoor het botnet grotendeels buiten werking is gesteld.
• Lumma Stealer was de afgelopen twee jaar één van de meest verspreide infostealers.
• ESET leverde zowel technische analyses als statistische informatie, en haalde essentiële gegevens uit tienduizenden samples, aangezien de ontwikkelaars van Lumma Stealer de malware actief bleven onderhouden.

 

Sliedrecht, 21 mei 2025 – ESET heeft samengewerkt met Microsoft, BitSight, Lumen, Cloudflare, CleanDNS en GMO Registry in een wereldwijde verstoringsoperatie tegen Lumma Stealer, een beruchte Malware-as-a-Service infostealer.Infostealers zoals Lumma Stealer zijn schadelijke programma’s die ongemerkt gevoelige gegevens verzamelen, zoals cookies, betaalinformatie en inloggegevens. Om die vervolgens naar de aanvallers te sturen. De operatie richtte zich op de infrastructuur van Lumma Stealer, met name alle bekende C&C-servers die het afgelopen jaar zijn gebruikt, waardoor het botnet grotendeels buiten werking is gesteld.

Technologiepartners zoals ESET werken vaker samen met opsporingsdiensten in Europa en Noord-Amerika in internationale operaties tegen cybercrime, zoals Operation Endgame. Vanuit die samenwerking werd al meerdere keren criminele infrastructuur ontmanteld die een sleutelrol had bij wereldwijde cybercriminaliteit. En ook bij deze operatie speelde ESET een belangrijke rol.

“De geautomatiseerde systemen van ESET verwerkten tienduizenden Lumma Stealer-samples en analyseerden deze om cruciale elementen te extraheren, zoals C&C-servers en affiliate-ID’s,” zegt ESET-onderzoeker Jakub Tomanek. “Daardoor konden we de activiteiten van Lumma Stealer continu monitoren, criminele afnemers, en updates in de ontwikkeling bijhouden.”

Volgens Tomanek zijn infostealers zoals Lumma Stealer vaak een voorbode van veel ernstigere aanvallen. “Verzamelde inloggegevens zijn zeer waardevol binnen de cybercrimewereld. Ze worden verkocht door initiële toegangsmakelaars aan andere cybercriminelen, waaronder ransomwaregroepen.”

“Met deze operatie wordt wederom een slag toegebracht aan criminele infrastructuur waarmee infostealers worden verspreid. Eerder dit jaar publiceerde ESET nog alarmerende cijfers over de toegenomen inzet van infostealers door cybercriminelen. Er werden in 2024 33.000 infostealer-aanvallen gedetecteerd: een stijging van 17 procent ten opzichte van een jaar eerder. “Lumma Stealer was met name in de afgelopen negen maanden bezig aan een opmars onder cybercriminelen. Het is een gevoelige tik voor cybercriminelen nadat politiediensten afgelopen jaar al andere beruchte infostealers uit de lucht wisten te halen”, zegt Harm Teunis, Security Evangelist & Technical Writer bij ESET Nederland.

Lumma Stealer was wereldwijd actief en werd voortdurend onderhouden door zijn ontwikkelaars. ESET signaleerde regelmatige codewijzigingen — van kleine bugfixes tot ingrijpende vernieuwingen in string-encryptie en netwerkprotocollen. Ook de gedeelde infrastructuur werd actief bijgehouden.

Tussen 17 juni 2024 en 1 mei 2025 identificeerde ESET in totaal 3.353 unieke C&C-domeinen. Dat komt neer op gemiddeld 74 nieuwe domeinen per week, inclusief periodieke updates van Telegram-gebaseerde dead drop resolvers. Deze voortdurende ontwikkeling toont aan hoe groot de dreiging van Lumma Stealer was, en benadrukt het belang van deze wereldwijde verstoring.

Lumma Stealer functioneert als een Malware-as-a-Service-platform. Criminele afnemers betalen een maandelijks bedrag, afhankelijk van hun abonnementsniveau, om toegang te krijgen tot de nieuwste malwareversies en infrastructuur voor gegevensdiefstal. Deze abonnementen variëren van 250 tot 1000 dollar per maand en bieden oplopende functionaliteit.

De beheerders van Lumma Stealer exploiteren ook een Telegram-marktplaats met een beoordelingssysteem. Hierdoor kunnen criminele afnemers gestolen gegevens verkopen zonder tussenpersonen. De malware wordt verspreid via phishingcampagnes, gehackte software en andere downloadkanalen. Analyse wordt bemoeilijkt door gerichte anti-emulatietechnieken die detectie proberen te ontwijken.

Microsoft’s Digital Crimes Unit leidde de juridische en operationele acties. Met een gerechtelijk bevel van de Amerikaanse rechtbank voor het Northern District of Georgia werden kwaadaardige domeinen ontmanteld, geblokkeerd en in beslag genomen. Tegelijkertijd nam het Amerikaanse ministerie van Justitie het controlepaneel van Lumma Stealer en de marktplaats in beslag. Deze acties waren gecoördineerd met Europol’s European Cybercrime Centre (EC3) en het Japanse Cybercrime Control Center (JC3), die lokaal gehoste infrastructuur hielpen afsluiten.

“Deze wereldwijde verstoringsoperatie is het resultaat van langdurige monitoring van Lumma Stealer,”aldus Tomanek. “De operatie, geleid door Microsoft, was gericht op het uitschakelen van alle bekende Lumma Stealer C&C-domeinen. Daardoor is de exfiltratie-infrastructuur onbruikbaar gemaakt. ESET blijft andere infostealers monitoren en volgt eventuele nieuwe Lumma Stealer-activiteit op de voet.”

Voor een overzicht van het Lumma Stealer-ecosysteem, inclusief technische analyse en een beschrijving van de ontwikkeling van zijn statische en dynamische kenmerken, raadpleeg de nieuwste blogpost op WeLiveSecurity.com: “ESET takes part in global operation to disrupt Lumma Stealer”. Volg ESET Research op Twitter (nu X), en  Bluesky voor het laatste nieuws.

Detectiegraad van Lumma Stealer op basis van ESET-telemetrie (gegevens sinds juli 2024)