Microsoft и ФБР прикрыли операции Lumma — крупнейшего инфостилера 2025 года
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Microsoft и ФБР прикрыли операции Lumma — крупнейшего инфостилера 2025 года

Екатерина Быстрова 22 Мая 2025 - 09:06
...
Microsoft и ФБР прикрыли операции Lumma — крупнейшего инфостилера 2025 года

Lumma Stealer, один из самых популярных инфостилеров в модели «вредонос как сервис» (MaaS), теперь вне игры. В масштабной международной операции приняли участие Microsoft, Cloudflare, ESET, Европол, Минюст США и ещё куча организаций — вместе они устроили Lumma настоящую зачистку.

2300 доменов — в минус

13 мая 2025 года Microsoft после обращения в суд заблокировала более 2300 доменов, связанных с Lumma.

Почти одновременно Министерство юстиции США забрало себе панель управления вредоносом, через которую злоумышленники арендовали стилер для своих атак. Европол и японский JC3 помогли отключить части инфраструктуры Lumma в своих регионах.

Итог? Lumma осталась без связи с заражёнными машинами, без панели управления и без платформы для сбыта украденных данных. Всё, бизнес прикрыт.

 

 

Почти 400 тысяч заражений

По словам Стивена Масады из юридического подразделения Microsoft, только с середины марта по середину мая более 394 000 Windows-компьютеров по всему миру были заражены Lumma. Компания совместно с правоохранителями и партнёрами отрезала канал связи между жертвами и командными серверами.

Cloudflare добавили, что Lumma активно использовал их сервисы, чтобы скрывать IP-адреса серверов, куда сливались украденные данные. Когда обычных мер стало не хватать, Cloudflare усилила защиту и ввела Turnstile на промежуточной странице предупреждения — чтобы бот не мог просто её обойти.

Что за зверь — Lumma Stealer?

Lumma (он же LummaC2) — это типичный инфостилер, который продаётся по подписке за $250-$1000. Он ворует всё подряд: логины, пароли, cookies, криптокошельки, историю браузера и данные банковских карт. Цель — Chrome, Edge, Firefox и другие браузеры на базе Chromium.

Распространяется он через всё, что под руку попадётся: комментарии на GitHub, фейковые сайты с дипфейк-контентом, вредоносная реклама. Заражённый комп собирает всю информацию в архив — и сливает злоумышленникам.

Самый популярный стилер 2025 года

Согласно свежему отчёту IBM X-Force, Lumma сейчас лидер среди инфостилеров. Более того, за последний год число логинов и паролей на даркнете выросло на 12%, а поставка стилеров через фишинг подскочила на 84%.

Lumma засветился в атаках на PowerSchool, HotTopic, CircleCI и Snowflake. Украденные им учётки даже использовались для вмешательства в маршрутизацию BGP и RPKI — как в случае с инцидентом у Orange Spain.

Сегодня ФБР и CISA выпустили совместное предупреждение (PDF) с индикаторами компрометации и описанием техник, которые используют операторы Lumma. Если вы в ИБ или администрировании — обязательно загляните.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft признала массовые сбои в ключевых компонентах Windows 11
Екатерина Быстрова 21 Ноября 2025 - 09:35
Windows Ошибки конфигурации программ Домашние пользователиКорпорации Microsoft
Microsoft признала массовые сбои в ключевых компонентах Windows 11

Неделя для Microsoft выдалась непростая. Сначала компания устраняла сбой в Microsoft 365, из-за которого документы временно стали недоступными. А на стороне Windows ситуация оказалась ещё хуже: Nvidia публично обвинила Microsoft в том, что недавнее патчи вызвали падение производительности в играх.

На фоне возникшего недовольства компания признала: проблемы действительно есть.

В свежей статье Microsoft заявила, что сбои затрагивают практически все основные компоненты Windows 11. Источник неполадок — ошибки в XAML и ключевой функциональности, лежащей в основе оболочки операционной системы.

Интересно, что официальное подтверждение появилось только сейчас, в ноябре, хотя неполадки начались ещё после июльского набора патчей (обновление KB5062553). Поэтому они распространяются и на Windows 11 25H2, так как обе версии используют один код.

В Microsoft поясняют:

«После установки июльских обновлений на устройства с Windows 11 версии 24H2, приложения StartMenuExperienceHost, Search, SystemSettings, Taskbar и Explorer могут работать некорректно».

Сбои проявляются при:

  • первом входе пользователя после обновления;
  • каждом входе в систему через инфраструктуру виртуальных рабочих столов, где приложение нужно устанавливать заново при каждом запуске.

Microsoft перечисляет несколько типичных симптомов:

  • аварийное завершение Explorer.exe;
  • сбой shelhost.exe;
  • меню «Пуск» и параметры Windows не запускаются;
  • проводник работает, но панель задач отсутствует;
  • XAML-элементы не инициализируются;
  • сбои в ImmersiveShell.

В качестве причины компания указывает обновления следующих пакетов: MicrosoftWindows.Client.CBS, Microsoft.UI.Xaml.CBS и MicrosoftWindows.Client.Core.

Фикс уже готовится, но пока Microsoft предлагает два обходных пути.

1. Перерегистрация системных пакетов через PowerShell (по сути — перезапуск SIHost.exe):

Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\appxmanifest.xml' -DisableDevelopmentMode
Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\Microsoft.UI.Xaml.CBS_8wekyb3d8bbwe\appxmanifest.xml' -DisableDevelopmentMode
Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\MicrosoftWindows.Client.Core_cw5n1h2txyewy\appxmanifest.xml' -DisableDevelopmentMode

2. Скрипт, который блокирует преждевременный запуск Explorer.exe, пока необходимые пакеты не будут полностью подготовлены:

@echo off
REM Register MicrosoftWindows.Client.CBS
powershell.exe -ExecutionPolicy Bypass -Command "Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\appxmanifest.xml' -DisableDevelopmentMode"
REM Register Microsoft.UI.Xaml.CBS
powershell.exe -ExecutionPolicy Bypass -Command "Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\Microsoft.UI.Xaml.CBS_8wekyb3d8bbwe\appxmanifest.xml' -DisableDevelopmentMode"
REM Register MicrosoftWindows.Client.Core
powershell.exe -ExecutionPolicy Bypass -Command "Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\MicrosoftWindows.Client.Core_cw5n1h2txyewy\appxmanifest.xml' -DisableDevelopmentMode"
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Android-приложении ChatGPT появятся личные и групповые чаты
Новость
В Android-приложении ChatGPT появятся личные и групповые чат...
Половина киберинцидентов в Roblox — попытки совращения детей
Новость
Половина киберинцидентов в Roblox — попытки совращения детей
Мошенники начали использовать дипфейки для страховых афер
Новость
Мошенники начали использовать дипфейки для страховых афер

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.