Microsoft blocca oltre 2.300 siti di malware Lumma Stealer per proteggere credenziali e criptovalute

Lumma Stealer: caratteristiche e diffusione del malware

Lumma Stealer si è affermato rapidamente come una delle minacce informatiche più sofisticate e pervasive nel panorama del cybercrimine contemporaneo. Introdotto nel 2022, questo malware ha subito un’evoluzione continua, affinando le sue capacità di sottrarre informazioni sensibili tra cui password, credenziali bancarie, dati delle carte di credito e portafogli digitali. La modalità di distribuzione principale coinvolge forum clandestini e mercati illeciti online, dove viene impiegato da una rete globale di hacker per compromettere dispositivi Windows, in particolare.

Tra il 16 marzo e il 16 maggio 2024, Microsoft ha rilevato oltre 394.000 dispositivi infettati, sottolineando l’ampiezza della diffusione del malware. Lumma Stealer opera collegandosi a server di comando e controllo che gestiscono la raccolta e l’estrazione dei dati sottratti, oltre a coordinare le attività malevole degli aggressori. Attraverso queste comunicazioni, il malware mantiene un controllo dinamico e in tempo reale sui sistemi compromessi, riuscendo a sottrarre criptovalute e autentificazioni digitali in maniera sistematica.

Il rapido adattamento di Lumma Stealer alle contromisure di sicurezza tradizionali ha reso necessario un approccio coordinato e altamente tecnologico per arginare il suo impatto. La complessità delle tecniche impiegate da questo malware evidenzia come la minaccia informatica si sia spostata verso strumenti sempre più raffinati, capaci di insediarsi in modo persistente nell’ecosistema digitale delle vittime, rappresentando un rischio crescente per la sicurezza individuale e aziendale.

L’operazione di Microsoft e la collaborazione internazionale

La recente iniziativa di Microsoft rappresenta un’intervento strategico che va oltre il semplice contrasto tecnico del malware Lumma Stealer. Utilizzando un ordine emanato da un tribunale federale della Georgia, l’azienda ha ottenuto l’autorizzazione legale per intervenire direttamente sulle infrastrutture digitali impiegate per la gestione del malware, colpendo oltre 2.300 siti web utilizzati come centri di comando e marketplace per la vendita illecita di dati rubati.

Questa operazione è stata resa possibile grazie a una partnership internazionale che ha visto la cooperazione tra la Digital Crimes Unit di Microsoft, il Dipartimento di Giustizia degli Stati Uniti, Europol e il Centro di Controllo del Crimine Informatico del Giappone. Tale collaborazione ha consentito di unire competenze tecnologiche, risorse investigative e autorità legali, creando una risposta integrata e coordinata contro una rete criminale globale.

La strategia adottata ha mirato a interrompere le comunicazioni tra i dispositivi infetti e i server di comando di Lumma Stealer, smantellando così la capacità dei criminali di orchestrare campagne di furto coordinate. Inoltre, il sequestro e il blocco di marketplace clandestini hanno inflitto un colpo significativo ai modelli di business criminale che assicuravano la distribuzione e la monetizzazione del malware.

Questa sinergia tra settore privato e istituzioni pubbliche mostra come la lotta al cybercrimine più avanzato richieda non solo innovazione tecnologica ma anche un forte coordinamento internazionale, unendo forze e competenze per disarticolare ecosistemi criminali complessi e globali.

Mercato nero e impatto del cybercrimine sulle criptovalute

Il mercato nero digitale connesso al furto di criptovalute e dati sensibili si è trasformato in un ecosistema altamente organizzato e in espansione, dove strumenti come i «crypto drainers» rappresentano una minaccia dominante. Questi software malevoli, progettati per svuotare i portafogli digitali delle vittime, sono ormai facilmente accessibili e distribuiti attraverso piattaforme clandestine, spesso mascherati da siti di phishing, airdrop falsi o estensioni del browser ingannevoli.

Secondo gli specialisti di AMLBOT, i servizi di «Drainer-as-a-Service» hanno abbassato drasticamente la barriera d’ingresso al cybercrimine, consentendo anche a criminali meno esperti di operare con costi che possono scendere fino a poche centinaia di dollari. Questa crescente accessibilità alimenta un business illecito sempre più redditizio, la cui diffusione è facilitata da comunità online dedicate, dove vengono condivisi tutorial e supporto tecnico per la messa a punto e l’utilizzo degli strumenti malevoli.

I dati ufficiali confermano un incremento esponenziale di queste attività illegali: forum del dark web specializzati in drainer sono quasi raddoppiati tra il 2022 e il 2024, mentre le stime di Scam Sniffer indicano in 494 milioni di dollari le somme illecitamente sottratte nel solo 2024, con un aumento del 67% rispetto all’anno precedente. Questa escalation evidenzia come il cybercrimine legato alle criptovalute non solo cresca in volume, ma diventi sempre più strutturato e professionale.

Paradossalmente, piattaforme un tempo rifugio sicuro come Telegram stanno registrando un calo nella popolarità tra i criminali informatici a causa di presunte collaborazioni con le autorità. Ciò ha spinto molti attori malevoli a migrare verso reti ancor più anonime, come Tor, rendendo gli sforzi investigativi più complessi ma non meno necessari. Questa dinamica sottolinea la continua evoluzione e sofisticazione del panorama criminale digitale, a cui operazioni coordinate come quella di Microsoft cercano di porre un argine concreto e tecnologicamente avanzato.