En una operación coordinada entre autoridades de los Estados Unidos, la Unión Europea, Japón y con el apoyo de varias empresas tecnológicas, se logró confiscar cientos de miles de dispositivos infectados, millones de dólares en pérdidas y un software esencial para operar el Malware-as-a-Service de la banda cibercriminal.
Un operativo internacional sin precedentes logró interrumpir de forma significativa la operación del malware Lumma, una sofisticada herramienta de robo de información que operaba bajo el modelo de malware como servicio (Malware-as-a-Service o MaaS) y que era empleada por cibercriminales de todo el mundo para obtener datos sensibles de usuarios y organizaciones.
La acción, iniciada el 16 de marzo pasado, fue coordinada entre autoridades de los Estados Unidos, Europa y Japón, junto con la asistencia de gigantes tecnológicos como Microsoft, Cloudflare, ESET, Bitsight, CleanDNS, Lumen y GMO Registry, además de la firma legal Orrick, culminó el 16 de mayo con la incautación de aproximadamente 2.300 dominios utilizados por los operadores de Lumma. Esta acción cortó la comunicación entre los servidores maliciosos y las computadoras infectadas, que solo en ese mes superaban las 394 mil, según Microsoft.
El malware, también conocido como LummaC2, ofrecía a sus usuarios la posibilidad de acceder, de forma sencilla y mediante una suscripción mensual que variaba entre los 250 y hasta los mil dólares, a un panel de control que les permitía robar contraseñas, tarjetas de crédito, criptomonedas, cookies y otros datos confidenciales. “El acceso a Lumma a través de un panel de usuario hace que sea increíblemente fácil para aquellos con muy pocos conocimientos técnicos convertirse en participantes del juego del malware”, explicó Brett Leatherman, un alto funcionario del FBI.
El Departamento de Justicia (DOJ) de los Estados Unidos, que participó activamente en el operativo, detalló que el malware fue utilizado para cometer delitos que iban desde el secuestro de redes escolares para exigir rescates, hasta la alteración de sistemas de enrutamiento de Internet, como el caso del operador de telecomunicaciones Orange en España, en 2024. “Se utiliza malware como LummaC2 para robar información confidencial, como credenciales de inicio de sesión de usuarios, con el fin de facilitar una serie de delitos, incluidas transferencias bancarias fraudulentas y el robo de criptomonedas”, afirmó Matthew Galeotti, jefe de la División Criminal del DOJ.
El FBI ha rastreado aproximadamente 10 millones de infecciones y ha identificado a miles de clientes activos del servicio, muchos de los cuales pagaban suscripciones mensuales. Solo en 2023, el valor de las pérdidas atribuidas al robo de tarjetas de crédito facilitado por Lumma ascendió a 36,5 millones de dólares.
Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, celebró el éxito del operativo, destacando la colaboración de su empresa. “En colaboración con las fuerzas del orden y socios del sector, hemos cortado la comunicación entre la herramienta maliciosa y las víctimas”, señaló en un comunicado.
Otras empresas como Cloudflare, jugaron un rol clave al rastrear y bloquear los dominios utilizados por Lumma. “El equipo de Confianza y Seguridad de Cloudflare marcó repetidamente los dominios utilizados por los delincuentes y suspendió sus cuentas”, explicó la compañía en una publicación de su blog, enfatizando que además se introdujeron nuevas barreras técnicas tras detectar que el malware eludía sus mecanismos de advertencia. En febrero de este año, por ejemplo, Cloudflare incorporó su servicio Turnstile a las páginas de advertencia, evitando así que Lumma pasara desapercibido, explicaron.
Lumma no solo era una operación tecnológicamente avanzada -con capacidades de evasión y programación para eludir defensas de seguridad-, sino también altamente rentable. Desde su aparición en 2022, el malware se publicitaba en foros clandestinos y de Telegram, con testimonios incluso del supuesto desarrollador, un actor identificado como “Shamel” y vinculado a Rusia. Según Microsoft, se estima que la organización contaba con alrededor de 400 clientes activos.
Su facilidad de distribución y personalización convirtió a Lumma en el infostealer preferido de grupos de amenazas notorios como Scattered Spider (también conocido como Octo Tempest), y fue implicado en recientes brechas de seguridad que afectaron a compañías como CircleCI, Snowflake y PowerSchool, este último, informado en nuestro blog hace unas semanas atrás.
A pesar del éxito de esta operación, las autoridades advierten que es probable que los actores criminales detrás de Lumma intenten reconstruir su infraestructura. No obstante, el subdirector saliente de la División Cibernética del FBI, Bryan Vorndran, confía en que estas acciones tengan un efecto disuasivo. “Parte del objetivo es fracturar la confianza dentro del panorama cibercriminal”, afirmó.
El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado guías técnicas para ayudar a las víctimas a identificar y limpiar infecciones. Las autoridades instan a quienes sospechen haber sido afectados a contactar al Centro de Quejas de Delitos en Internet (IC3).