A Check Point Research identificou sinais de continuidade nas atividades do malware Lumma Infostealer, mesmo após uma operação global que mirou diretamente sua infraestrutura.
Coordenada por Europol, FBI, Microsoft e outros parceiros do setor público e privado, a ofensiva foi anunciada no dia 21 de maio de 2025 e teve início dias antes, em 15 de maio. Como resultado, aproximadamente 2.500 domínios utilizados pelo malware foram derrubados.
No entanto, análises da CPR revelam que os servidores de comando e controle (C2) registrados na Rússia continuam operacionais, o que permite a manutenção das atividades criminosas associadas ao malware.
O Lumma Infostealer opera sob o modelo Malware-as-a-Service (MaaS), sendo amplamente utilizado para o roubo de credenciais por cibercriminosos comuns e por grupos sofisticados, como Scattered Spider, Angry Likho e CoralRaider.
“Nesse caso, não se trata apenas de uma derrubada técnica — é uma guerra de reputação”, informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software. “Os desenvolvedores do Lumma estão tentando agir como se tudo continuasse como sempre, mas a confiança no submundo do malware como serviço é frágil.”
Durante a operação, relatos em fóruns da Dark Web indicaram que usuários estavam sem acesso às interfaces de controle do malware. Em resposta, o próprio desenvolvedor confirmou a ação policial e afirmou que nenhuma prisão foi realizada, declarando que os serviços estavam sendo retomados.
De acordo com informações divulgadas pelo criador do Lumma, o servidor principal do malware — hospedado em uma localização geográfica protegida — não foi apreendido, mas sim acessado remotamente por meio de uma vulnerabilidade desconhecida no sistema iDRAC da Dell. Através dessa exploração, autoridades conseguiram apagar o servidor e seus backups, além de implantar páginas de phishing e códigos JavaScript com o objetivo de coletar dados dos usuários.
Apesar do impacto técnico relevante, a Check Point Software destaca que o dano reputacional pode ser ainda mais significativo. Como observado em operações anteriores, como a que desmantelou o grupo LockBit, estratégias psicológicas são empregadas para gerar desconfiança entre os membros da comunidade criminosa. No caso do Lumma, foram publicadas mensagens em canais de comunicação do grupo sugerindo que administradores estariam colaborando com as autoridades, o que pode minar relações internas e dificultar sua recuperação.
Também foi identificado que, mesmo após a data da operação, dados roubados por meio do Lumma continuam sendo comercializados em bots automatizados no Telegram e em lojas digitais do mercado clandestino. Entre os dados havia 202 senhas e 4.177 cookies brasileiros, ao preço de US$ 1.00.
