Исследователи компании Trend Micro сообщили о том, что киберпреступная платформа Lumma возобновила и неуклонно наращивает свою активность. Не далее как в мае нынешнего года правоохранительные органы ряда европейских стран и Японии провели масштабную операцию по пресечению деятельности Lumma. В ее ходе были конфискованы 2300 доменных имен и значительное количество серверов, входивших в хакерскую инфраструктуру.

Однако уже через несколько дней на одном из киберпреступных форумов администраторы Lumma сообщили, что главный сервер платформы не был конфискован (хотя им и пришлось пойти на дистанционное удаление его данных), и идет активная работа по восстановлению инфраструктуры. И, согласно данным Trend Micro, работа эта идет весьма успешно: активность Lumma уже практически вернулась на тот уровень, на котором находилась до операции правоохранительных органов.

Lumma действует по модели «вредоносное ПО как услуга» (malware-as-a-service - MaaS). За сумму от 250 до 1000 долларов злоумышленники могут арендовать мощное ПО для похищения данных (инфостилер) и панель для управления атаками. Lumma похищает данные браузеров и приложений, включая криптовалютные кошельки, и информацию банковских карт. Для распространения зловреда используются ссылки на якобы взломанные и бесплатные копии популярных программ, чит-коды известных игр и т.д., а сайты, предлагающие подобные ссылки, активно рекламируются в Youtube и социальных сетях.

Разумеется, полицейская операция нанесла Lumma серьезный урон, и восстановление деятельности потребовало немалых усилий и затрат. Но следует понимать, что подобный киберпреступный бизнес является исключительно прибыльным, и хакеры могут себе позволить не считаться с затратами, не без оснований полагая, что окупят их уже очень скоро. В результате ситуация в очередной раз подтверждает уже известный факт: любые акции правоохранителей в отношении хакеров, не сопровождающиеся арестами ключевых игроков, не ставят точку в хакерских операциях.