Acordo entre Microsoft e Departamento de Justiça é um golpe devastador para o império de malware Lumma
A Microsoft, em parceria com o Departamento de Justiça dos EUA (DOJ), deu um passo importante para desmantelar uma das ferramentas de crime cibernético mais prolíficas atualmente em circulação. A Unidade de Crimes Digitais (DCU) da Microsoft colaborou com o DOJ, a Europol e diversas empresas globais de segurança cibernética para desmantelar a rede de malware Lumma Stealer — uma plataforma de malware como serviço (MaaS) envolvida em centenas de milhares de violações digitais em todo o mundo.
Segundo a Microsoft, o Lumma Stealer infectou mais de 394.000 máquinas Windows entre março e meados de maio de 2025. O malware tem sido uma ferramenta popular entre os cibercriminosos para roubar credenciais de login e informações financeiras confidenciais, incluindo carteiras de criptomoedas. Ele tem sido usado em campanhas de extorsão contra escolas, hospitais e provedores de infraestrutura. De acordo com o site do Departamento de Justiça (DOJ) , "o FBI identificou pelo menos 1,7 milhão de casos em que o LummaC2 foi usado para roubar esse tipo de informação".
Com uma ordem judicial do Tribunal Distrital dos EUA para os Distritos do Norte da Geórgia, a Microsoft removeu cerca de 2.300 domínios maliciosos associados à infraestrutura da Lumma. O Departamento de Justiça removeu simultaneamente cinco domínios críticos do LummaC2, que atuavam como centros de comando e controle para cibercriminosos que implantavam o malware. Esses domínios agora são redirecionados para um aviso de apreensão do governo.
A assistência internacional veio do Centro Europeu de Cibercrime (EC3) da Europol e do JC3 do Japão, que coordenaram esforços para bloquear servidores regionais. Empresas de segurança cibernética como Bitsight, Cloudflare, ESET, Lumen, CleanDNS e GMO Registry auxiliaram na identificação e desmantelamento da infraestrutura web.
Por dentro da operação Lumma
O Lumma, também conhecido como LummaC2, opera desde 2022, possivelmente antes, e disponibiliza seu malware para roubo de informações para venda em fóruns criptografados e canais do Telegram . O malware é projetado para ser fácil de usar e frequentemente vem com ferramentas de ofuscação para ajudá-lo a contornar softwares antivírus. As técnicas de distribuição incluem e-mails de spear-phishing , sites de marcas falsificados e anúncios online maliciosos conhecidos como "malvertising".
Pesquisadores de segurança cibernética afirmam que o Lumma é particularmente perigoso porque permite que criminosos escalem ataques rapidamente. Os compradores podem personalizar payloads, rastrear dados roubados e até obter suporte ao cliente por meio de um painel de usuário dedicado. O Microsoft Threat Intelligence já havia vinculado o Lumma à notória gangue Octo Tempest, também conhecida como "Scattered Spider".
Em uma campanha de phishing no início deste ano, hackers conseguiram falsificar o Booking.com e usaram o Lumma para coletar credenciais financeiras de vítimas desavisadas.
Quem está por trás disso?
As autoridades acreditam que o desenvolvedor da Lumma atende pelo pseudônimo "Shamel" e opera na Rússia. Em uma entrevista de 2023 , Shamel afirmou ter 400 clientes ativos e até se gabou de ter usado o logotipo de uma pomba e o slogan: "Ganhar dinheiro conosco é tão fácil quanto".
Perturbação a longo prazo, não um nocaute
Embora a remoção seja significativa, especialistas alertam que o Lumma e ferramentas semelhantes raramente são erradicados para sempre. Ainda assim, a Microsoft e o Departamento de Justiça afirmam que essas ações prejudicam e interrompem severamente as operações criminosas, cortando sua infraestrutura e fluxos de receita. A Microsoft usará os domínios apreendidos como sumidouros para coletar informações e proteger ainda mais as vítimas.
Essa situação destaca a necessidade de cooperação internacional na repressão ao crime cibernético. Autoridades do Departamento de Justiça (DOJ) enfatizaram o valor das parcerias público-privadas, enquanto o FBI observou que interrupções autorizadas por tribunais continuam sendo uma ferramenta essencial no manual de segurança cibernética do governo.
À medida que o DCU da Microsoft continua seu trabalho, essa repressão à Lumma estabelece um forte precedente sobre o que pode ser realizado quando especialistas do setor e do governo colaboram para eliminar ameaças.
À medida que mais dessas organizações são descobertas e desativadas, lembre-se de se proteger alterando suas senhas com frequência e evitando clicar em links de remetentes desconhecidos.
