Microsoft i partnerzy z całego świata przeprowadzili operację wymierzoną w Lumma Stealer – groźne narzędzie cyberprzestępców. Polska znalazła się wśród państw Europy najbardziej narażonych na jego ataki.
Microsoft, we współpracy z międzynarodowymi partnerami i organami ścigania, przeprowadził szeroko zakrojoną akcję przeciwko Lumma Stealer – jednemu z najgroźniejszych narzędzi wykorzystywanych przez cyberprzestępców do masowej kradzieży danych. Od połowy marca do połowy maja 2025 roku Microsoft zidentyfikował ponad 394 tysiące komputerów z systemem Windows na całym świecie zainfekowanych tym złośliwym oprogramowaniem. Polska znalazła się wśród państw Europy szczególnie dotkniętych atakami Lumma Stealer, co potwierdzają raporty branżowe i analizy ekspertów ds. cyberbezpieczeństwa.
Lumma Stealer to tzw. Malware-as-a-Service, sprzedawany na podziemnych forach od 2022 roku. Umożliwia kradzież haseł, danych kart płatniczych, dostępów do bankowości, portfeli kryptowalutowych, a także instalowanie kolejnych złośliwych programów. Przestępcy wykorzystywali Lumma Stealer m.in. do szantażowania szkół, opróżniania kont bankowych, ataków na firmy z branży logistycznej, zdrowotnej i finansowej, a także do wyłudzania danych w kampaniach phishingowych podszywających się pod znane marki, jak np. Booking.com.
Tak wygląda globalna mapa rozprzestrzeniania Lumma Stealer na urządzeniach Windows
Microsoft, korzystając z nakazu sądowego w USA, przejął i zablokował ok. 2300 domen będących podstawą infrastruktury Lumma Stealer. Równocześnie Departament Sprawiedliwości USA zajął centralny serwer dowodzenia, a Europol i japońskie służby cyberbezpieczeństwa zlikwidowały lokalne elementy sieci przestępczej. Ponad 1300 przejętych domen będzie teraz przekierowywanych do tzw. sinkholi Microsoftu (specjalny serwer lub infrastruktura, która przejmuje ruch sieciowy kierowany do złośliwych domen lub adresów IP wykorzystywanych przez cyberprzestępców), co pozwoli na dalsze monitorowanie zagrożenia i wsparcie dla ofiar.
Lumma Stealer jest szczególnie niebezpieczny, ponieważ łatwo go rozpowszechniać, trudno wykryć, a jego twórcy stale go udoskonalają, oferując różne poziomy usług i wsparcia dla cyberprzestępców. Główny deweloper, znany jako „Shamel”, działa z Rosji i otwarcie reklamuje swoje usługi na forach internetowych.
Polska, jako kraj o wysokim stopniu cyfryzacji i dużej liczbie użytkowników Windowsa, znalazła się w grupie państw najbardziej narażonych na ataki Lumma Stealer. Eksperci ostrzegają, iż zagrożone są nie tylko osoby prywatne, ale także firmy i instytucje publiczne, w tym sektor edukacji, zdrowia i infrastruktury krytycznej.
