Schlag gegen Lumma-Infostealer – ein Nadelstich mit Wirkung?
Mit einer konzertierten Aktion haben Ermittler von Europol, FBI und Microsoft der Malware-as-a-Service-Plattform Lumma Stealer einen empfindlichen Schlag versetzt. Zwar bleibt ein Großteil der Infrastruktur aktiv – doch die Aktion hinterließ Spuren: technisch, psychologisch und strategisch.
Am 21. Mai 2025 verkündeten internationale Strafverfolgungsbehörden den vorläufigen Erfolg: Die Infrastruktur des Lumma-Infostealers sei massiv gestört worden. Laut einer umfassenden Analyse dieses Takedowns, die Check Point jetzt seine vorgestellt hat, wird Lumma wird nicht nur von gewöhnlichen Cyber-Kriminellen zum Diebstahl von Anmeldedaten verwendet, sondern gehört auch zum Arsenal mehrerer bekannter Bedrohungsakteure, darunter Scattered Spider, Angry Likho und CoralRaider.
Das Besondere an der Aktion gegen Lumma: Nicht nur Server wurden abgeschaltet – Ermittler infiltrierten das System selbst. Eine bislang unbekannte Schwachstelle in Dells Remote-Access-Lösung iDRAC wurde genutzt, um den Hauptserver zu löschen, inklusive aller Backups.
Insgesamt sollen rund 2500 Domains beschlagnahmt oder blockiert worden sein. Lumma-Kunden beklagten sich auf einschlägigen Dark-Web-Foren über den Verlust des Zugangs zu den C2-Servern und Management-Dashboards. Der Entwickler selbst meldete sich schließlich zu Wort – und bestätigte das Ausmaß der Abschaltung.
Psychologischer Druck und digitale Fallen
Ein bemerkenswerter Aspekt: Die Ermittler platzierten ein manipuliertes JavaScript-Snippet in kompromittierten Panels, das angeblich auf die Webcams der Nutzer zugreifen sollte. Auch eine Phishing-Anmeldeseite wurde eingerichtet, um Spuren und Zugangsdaten der Angreifer zu sammeln. Darüber hinaus veröffentlichten Strafverfolger Nachrichten im offiziellen Telegram-Kanal von Lumma, in denen sie behaupteten, dass Insider Informationen preisgegeben hätten – ganz im Stil der Operation Cronos gegen LockBit.
Ziel dieser Maßnahmen war weniger die technische Sabotage als vielmehr die Erzeugung von Misstrauen unter den Tätern – eine Taktik, die sich in der Vergangenheit als äußerst wirksam erwiesen hat.
Lumma lebt – nur im Verborgenen
Trotz der Störung zeigt sich – so die Beobachtung von Check Point: Ganz ist Lumma nicht verschwunden. Schon wenige Tage nach dem Takedown bot ein Telegram-Bot wieder neue Datensätze an – darunter 406 Logs aus 41 Ländern. Auch russische C2-Server scheinen weiter aktiv. In Foren kursieren Screenshots von Telegram-Chats, in denen der Entwickler behauptet, alles sei wiederhergestellt und niemand verhaftet worden.
Diese Resilienz ist kein Zufall. Lumma operiert über ein Malware-as-a-Service-Modell, das von hoher Dezentralisierung profitiert. Die Infostealer-Software kann für rund 140 bis 160 US-Dollar pro Monat gemietet werden und ist auf Datenklau in großem Stil ausgelegt: von Browserdaten über Wallet-Informationen bis hin zu kompletten Dateigrabs.
Ein Infostealer mit Evolution
Seit seiner Entdeckung im August 2022 wurde Lumma Stealer kontinuierlich weiterentwickelt. Die Malware ist modular aufgebaut, schwer zu erkennen und mit einem Loader-Modul ausgestattet, das weitere Schadsoftware nachladen kann. Ziel sind vor allem Kryptowährungsnutzer und Anwender von Zwei-Faktor-Authentifizierung, Browsererweiterungen und Instant Messenger wie Telegram.
Für Unternehmen wie für Privatanwender ist Lumma damit ein echtes Risiko – gerade weil er sich effektiv tarnt und automatisiert operiert. Die Verkaufsplattformen im Darknet, allen voran der Lumma-Shop, ermöglichen sogar selektiven Zugriff auf Daten aus bestimmten Ländern.
Reputation im Fokus
Auch wenn die Operation keinen vollständigen Erfolg markiert, stellt sie den Ruf von Lumma infrage. Wer kann noch darauf vertrauen, dass das System anonym bleibt? Dass keine Backdoors bestehen? Dass nicht doch jemand mit den Ermittlern zusammenarbeitet? Gerade im kriminellen Untergrund ist Vertrauen die Währung – und das Kapital von Lumma wurde durch die Aktion spürbar angegriffen.
Fazit: Kein Ende, aber ein Dämpfer
Der Schlag gegen Lumma zeigt, dass Strafverfolgung im digitalen Raum immer gezielter, technischer und psychologischer agiert. Auch wenn die Malware weiterlebt, nach Einschätzung von Check Point ist ihr Mythos angekratzt. Für Cyberkriminelle ist das ein Warnsignal – für Sicherheitsverantwortliche ein Anlass, Schutzmaßnahmen und Awareness-Programme weiter zu verschärfen. Denn wo ein Infostealer gestoppt wird, steht der nächste schon bereit.
Das FBI verkündet die Zerschlagung der C2 Infrastruktur von Lumma
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
