Europol e Microsoft hanno reso noto pochi minuti fa di essere riusciti a smantellare Lumma, una delle più gravi minacce informatiche al mondo.
Parliamo di un sofisticato strumento che permetteva ai criminali informatici di raccogliere dati sensibili da dispositivi compromessi su larga scala. Tecnicamente Lumma era un Malware-as-a-service (Maas). Ed era commercializzato e venduto attraverso forum illegali almeno dal 2022.
Credenziali rubate, dati finanziari e informazioni personali venivano raccolti e venduti tramite un marketplace dedicato. Microsoft ha identificato oltre 394mila computer Windows infettati dal malware Lumma in tutto il mondo. La Digital crimes unit (Dcu) di Microsoft, l’Europol ed altri partner internazionali hanno colpito l’infrastruttura tecnica di Lumma. Interrompendo le comunicazioni tra lo strumento e le vittime.
“Questa operazione è un chiaro esempio di come i partenariati pubblico-privati stiano trasformando la lotta alla criminalità informatica. – ha dichiarato il direttore del Centro europeo per la criminalità informatica di Europol Edvardas Šileris – Combinando le capacità di coordinamento di Europol con le competenze tecniche di Microsoft, è stata smantellata una vasta infrastruttura criminale. I criminali informatici prosperano nella frammentazione, ma insieme siamo più forti“.
Cos’era il marketplace di Lumma
.
Il marketplace Lumma fungeva da hub per l’acquisto e la vendita del malware, offrendo ai criminali un accesso intuitivo a funzionalità avanzate per il furto di dati. La sua diffusione e accessibilità lo avevano reso la scelta preferita dai criminali informatici che cercavano di sfruttare dati personali e finanziari. Dopo aver ricevuto informazioni critiche da Microsoft, il Centro europeo per la criminalità informatica di Europol ha arricchito queste informazioni e fornito agli Stati membri una panoramica delle minacce.
Lumma era facile da distribuire, difficile da rilevare e poteva essere programmato per aggirare determinate difese di sicurezza. Il malware impersonava marchi affidabili, tra cui Microsoft, e veniva distribuito tramite e-mail di spear-phishing e malvertising. A marzo 2025, Microsoft Threat Intelligence ha identificato una campagna di phishing per la quale ci si spacciava per l’agenzia di viaggi online Booking.com.
La campagna ha utilizzato diversi malware per il furto di credenziali, tra cui Lumma, per commettere frodi e furti finanziari. È stato anche utilizzato anche per colpire community di gaming e sistemi educativi e rappresenta un rischio costante per la sicurezza globale, con report di diverse aziende di sicurezza informatica che ne descrivono l’utilizzo in attacchi contro infrastrutture critiche, come i settori manifatturiero, delle telecomunicazioni, della logistica, della finanza e della sanità.
Lo sviluppatore principale di Lumma ha sede in Russia e usa l’alias online Shamel. Quest’ultimo commercializzava diversi livelli di servizio per Lumma tramite Telegram e altri forum in lingua russa. A seconda del servizio acquistato, un criminale informatico poteva creare versioni personalizzate del malware, aggiungere strumenti per nasconderlo e distribuirlo e tracciare le informazioni rubate tramite un portale online.
Il Dipartimento di Giustizia degli Stati Uniti (Doj) ha sequestrato il pannello di controllo di Lumma. Anche in Giappone è stata sospesa un’altra infrastruttura Lumma. “I partenariati pubblico-privati – ha concluso Šileris – consentono a Europol di colmare il divario tra le competenze tecniche del settore privato e le capacità operative delle forze dell’ordine. Sfruttando i punti di forza di entrambi, Europol può ottenere risultati più incisivi, contrastando alla radice le operazioni della criminalità informatica”.
