Microsoft et le ministère de la Justice portent un coup dur à l’empire des logiciels malveillants Lumma

22 mai 2025 Hibou Gourou

Microsoft, en partenariat avec le ministère américain de la Justice (DOJ), a franchi une étape majeure dans le démantèlement de l'un des outils de cybercriminalité les plus répandus actuellement en circulation. L'unité de lutte contre la cybercriminalité numérique (DCU) de Microsoft a collaboré avec le DOJ, Europol et plusieurs entreprises internationales de cybersécurité pour perturber le réseau de malwares Lumma Stealer, une plateforme de malware en tant que service (MaaS) impliquée dans des centaines de milliers de violations numériques à travers le monde.

Selon Microsoft, Lumma Stealer a infecté plus de 394 000 ordinateurs Windows entre mars et mi-mai 2025. Ce malware est un outil privilégié des cybercriminels pour voler des identifiants de connexion et des informations financières sensibles, notamment des portefeuilles de cryptomonnaies. Il a été utilisé dans des campagnes d'extorsion contre des écoles, des hôpitaux et des fournisseurs d'infrastructures. Selon le site web du Département de la Justice (DOJ) , « le FBI a identifié au moins 1,7 million de cas où LummaC2 a été utilisé pour voler ce type d'informations ».

Suite à une décision de justice du tribunal de district des districts nord de Géorgie, Microsoft a démantelé environ 2 300 domaines malveillants associés à l'infrastructure de Lumma. Le ministère de la Justice a simultanément démantelé cinq domaines critiques LummaC2, qui servaient de centres de commandement et de contrôle aux cybercriminels déployant le logiciel malveillant. Ces domaines redirigent désormais vers un avis de saisie gouvernemental.

L'aide internationale a été apportée par le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol et le JC3 japonais, qui ont coordonné les efforts de blocage des serveurs régionaux. Des entreprises de cybersécurité comme Bitsight, Cloudflare, ESET, Lumen, CleanDNS et GMO Registry ont contribué à l'identification et au démantèlement des infrastructures web.

Au cœur de l'opération Lumma

Lumma, également connu sous le nom de LummaC2, est actif depuis 2022, voire avant, et propose son logiciel malveillant de vol d'informations à la vente via des forums et des chaînes Telegram chiffrés. Conçu pour être simple d'utilisation, ce logiciel malveillant est souvent associé à des outils d'obfuscation pour contourner les antivirus. Ses techniques de diffusion incluent les e-mails de spear-phishing , les sites web de marques usurpés et les publicités en ligne malveillantes appelées « malvertising ».

Les chercheurs en cybersécurité affirment que Lumma est particulièrement dangereux car il permet aux criminels de déployer rapidement des attaques à grande échelle. Les acheteurs peuvent personnaliser les charges utiles, suivre les données volées et même obtenir une assistance client via un panneau utilisateur dédié. Microsoft Threat Intelligence a précédemment lié Lumma au célèbre gang Octo Tempest, également connu sous le nom de « Scattered Spider ».

Lors d'une campagne de phishing plus tôt cette année, des pirates ont réussi à usurper l'identité de Booking.com et à utiliser Lumma pour récupérer les informations financières de victimes sans méfiance.

Qui est derrière ça ?

Les autorités pensent que le développeur de Lumma se fait appeler « Shamel » et opère depuis la Russie. Dans une interview de 2023 , Shamel affirmait avoir 400 clients actifs et se vantait même d'avoir apposé sur Lumma un logo représentant une colombe et le slogan : « Gagner de l'argent avec nous est tout aussi simple. »

Une perturbation à long terme, pas un coup de grâce

Avis de saisie de domaine du DOJ et du FBI — Image utilisée avec la permission du détenteur des droits d'auteur

Bien que ce démantèlement soit significatif, les experts préviennent que Lumma et les outils similaires sont rarement éradiqués définitivement. Pourtant, Microsoft et le DOJ affirment que ces actions entravent et perturbent gravement les activités criminelles en bloquant leurs infrastructures et leurs sources de revenus. Microsoft utilisera les domaines saisis comme des puits pour recueillir des renseignements et mieux protéger les victimes.

Cette situation met en évidence la nécessité d'une coopération internationale dans la lutte contre la cybercriminalité. Les responsables du ministère de la Justice ont souligné l'importance des partenariats public-privé, tandis que le FBI a souligné que les perturbations autorisées par les tribunaux demeurent un outil essentiel dans le programme de cybersécurité du gouvernement.

Alors que la DCU de Microsoft poursuit son travail, cette répression de Lumma établit un précédent solide quant à ce qui peut être accompli lorsque les spécialistes de l'industrie et du gouvernement collaborent pour éliminer les menaces.

Alors que de plus en plus d’organisations de ce type sont découvertes et perturbées, n’oubliez pas de vous protéger en changeant fréquemment vos mots de passe et en évitant de cliquer sur des liens provenant d’expéditeurs inconnus.