La Unidad de Delitos Digitales (DCU) de Microsoft y sus socios internacionales están desmantelando la herramienta principal utilizada para robar indiscriminadamente información confidencial personal y organizacional con el fin de facilitar el cibercrimen. El martes 13 de mayo, la DCU de Microsoft presentó una demanda contra Lumma Stealer ("Lumma"), el malware de robo de información favorito de cientos de cibercriminales. Lumma roba contraseñas, tarjetas de crédito, cuentas bancarias y monederos de criptomonedas, y ha permitido a los delincuentes secuestrar escuelas para pedir rescates, vaciar cuentas bancarias e interrumpir servicios críticos.

Mediante una orden judicial otorgada por el Tribunal de Distrito de los Estados Unidos del Distrito Norte de Georgia, la DCU de Microsoft incautó y facilitó la desactivación, suspensión y bloqueo de aproximadamente 2300 dominios maliciosos que constituían la columna vertebral de la infraestructura de Lumma. El Departamento de Justicia (DOJ) simultáneamente incautó la estructura de mando central de Lumma e interrumpió los mercados donde la herramienta se vendía a otros ciberdelincuentes. El Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Centro de Control de Ciberdelincuencia de Japón (JC3) facilitaron la suspensión de la infraestructura local de Lumma.

Entre el 16 de marzo y el 16 de mayo de 2025, Microsoft identificó más de 394.000 ordenadores Windows infectados por el malware Luma en todo el mundo. En colaboración con las fuerzas del orden y socios del sector, hemos cortado la comunicación entre la herramienta maliciosa y las víctimas. Además, más de 1.300 dominios confiscados o transferidos a Microsoft, incluidos 300 dominios intervenidos por las fuerzas del orden con el apoyo de Europol, serán redirigidos a los sumideros de Microsoft. Esto permitirá a la Unidad de Control de Detección (DCU) de Microsoft proporcionar información útil para seguir reforzando la seguridad de los servicios de la compañía y proteger a los usuarios en línea. Esta información también ayudará a los socios de los sectores público y privado a seguir rastreando, investigando y remediando esta amenaza. Esta acción conjunta está diseñada para ralentizar la velocidad con la que estos actores pueden lanzar sus ataques, minimizar la eficacia de sus campañas y obstaculizar sus beneficios ilícitos al recortar una importante fuente de ingresos.

¿Qué es Lumma?

Lumma es un malware como servicio (MaaS), comercializado y vendido a través de foros clandestinos desde al menos 2022. A lo largo de los años, sus desarrolladores han lanzado múltiples versiones para mejorar continuamente sus capacidades. Microsoft Threat Intelligence comparte más detalles sobre las técnicas de distribución y las capacidades de Lumma en una entrada de blog reciente .

Normalmente, el objetivo de los operadores de Lumma es monetizar la información robada o explotarla con diversos fines. Lumma es fácil de distribuir, difícil de detectar y puede programarse para eludir ciertas defensas de seguridad, lo que lo convierte en una herramienta predilecta para ciberdelincuentes y actores de amenazas en línea, incluyendo prolíficos actores de ransomware como Octo Tempest (Scattered Spider). El malware suplanta la identidad de marcas de confianza, como Microsoft, y se distribuye mediante correos electrónicos de phishing selectivo y malvertising , entre otros vectores.

Por ejemplo, en marzo de 2025, Microsoft Threat Intelligence identificó una campaña de phishing que suplantaba la identidad de la agencia de viajes online Booking.com. La campaña utilizó varios programas maliciosos de robo de credenciales, incluyendo Lumma, para cometer fraudes y robos financieros. Lumma también se ha utilizado para atacar comunidades de videojuegos y sistemas educativos , y representa un riesgo constante para la seguridad global. Diversas empresas de ciberseguridad han informado de su uso en ataques contra infraestructuras críticas, como los sectores manufacturero , de telecomunicaciones , logístico , financiero y sanitario .

Ejemplo de correo electrónico de phishing que suplanta a Booking.com y solicitud falsa de verificación CAPTCHA. (Fuente: Microsoft – Campaña de phishing que suplanta a Booking.com y distribuye un conjunto de malware que roba credenciales )

El desarrollador principal de Lumma reside en Rusia y utiliza el alias de internet "Shamel". Shamel comercializa diferentes niveles de servicio para Lumma a través de Telegram y otros foros de chat en ruso. Dependiendo del servicio que adquiera un ciberdelincuente, puede crear sus propias versiones del malware, añadir herramientas para ocultarlo y distribuirlo, y rastrear la información robada a través de un portal en línea.

Diferentes niveles de servicio para Lumma, así como el uso de su logotipo en material de marketing. (Fuente: Darktrace – El auge de MaaS y el ladrón de información de Lumma )

En una entrevista con el investigador de ciberseguridad "g0njxa" en noviembre de 2023, Shamel compartió que tenía "unos 400 clientes activos". Demostrando la evolución del ciberdelito para incorporar prácticas comerciales consolidadas, creó la marca Lumma, utilizando el logotipo distintivo de un pájaro para promocionar su producto, llamándolo un símbolo de "paz, ligereza y tranquilidad", y añadiendo el eslogan "Ganar dinero con nosotros es igual de fácil".

La capacidad de Shamel para operar abiertamente subraya la importancia de que los países de todo el mundo aborden la cuestión de los refugios seguros y aboguen por la aplicación rigurosa de las obligaciones de diligencia debida en virtud del derecho internacional.

Seguimos trabajando juntos para desmantelar las herramientas prolíficas del ciberdelito

Interrumpir las herramientas que los ciberdelincuentes usan con frecuencia puede tener un impacto significativo y duradero en la ciberdelincuencia, ya que reconstruir la infraestructura maliciosa y obtener nuevas herramientas de explotación requiere tiempo y dinero. Al cortar el acceso a los mecanismos que usan los ciberdelincuentes, como Lumma, podemos interrumpir significativamente las operaciones de innumerables actores maliciosos con una sola acción.

La colaboración continua entre la industria y el gobierno sigue siendo fundamental. Agradecemos la colaboración con otras empresas del gobierno y la industria, incluidas las empresas de ciberseguridad ESET , Bitsight , Lumen , Cloudflare , CleanDNS y GMO Registry . Cada empresa brindó una valiosa asistencia al desmantelar rápidamente la infraestructura en línea.

Finalmente, sabemos que los ciberdelincuentes son persistentes y creativos. Nosotros también debemos evolucionar para identificar nuevas formas de interrumpir las actividades maliciosas. La DCU de Microsoft seguirá adaptándose e innovando para contrarrestar el cibercrimen y ayudar a garantizar la seguridad de la infraestructura crítica, los clientes y los usuarios en línea.

Las organizaciones y las personas pueden protegerse de malware como Lumma mediante la autenticación multifactor, la instalación del software antimalware más reciente y la precaución con los archivos adjuntos y los enlaces de correo electrónico. Puede encontrar más información para profesionales de la seguridad aquí .

Fuente: https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/