微软破坏了Lumma Stealer网络，在与执法合作伙伴的全球网络犯罪打击行动中查获了与394000起感染相关的2000个域名。

在国际执法机构的支持下，微软在全球范围内发起了一场打击行动，摧毁了一个主要的恶意软件分发网络，该网络负责大规模的凭证盗窃、金融欺诈和勒索软件攻击。此次行动的目标是Lumma Stealer，这是一款信息窃取恶意软件，数百名威胁行为者利用该恶意软件从近40万台受感染的Windows设备中窃取敏感信息。

此次行动由微软数字犯罪部门(DCU)、美国司法部、欧洲刑警组织以及私营部门的网络安全合作伙伴共同参与。他们共同查封了超过2300个域名，摧毁了Lumma的基础设施，切断了攻击者与受害者之间的联系。

Lumma Stealer至少从2022年开始就通过地下论坛进行推广，作为一种即插即用的解决方案，供网络犯罪分子窃取从密码、信用卡号到加密钱包和银行凭证等一切信息。其易用性和适应性使其在威胁行为者中获得了关注，其中包括像Octo Tempest这样的知名勒索软件组织。

该工具通常通过网络钓鱼活动、恶意广告和恶意软件加载器进行传播。在今年早些时候的一次活动中，攻击者冒充了Booking.com，诱骗受害者下载带有恶意软件的文件。这种策略甚至连经验丰富的用户都能上当受骗。

微软威胁情报团队密切跟踪了Lumma的活动，发现了从2025年3月到5月的广泛感染模式。该公司分享的热图显示了该恶意软件的全球足迹，受感染的设备主要集中在北美、欧洲和亚洲部分地区。

根据微软的博客文章，5月13日，微软向美国佐治亚州北区地方法院提起诉讼，获得法院命令，屏蔽并扣押与Lumma指挥结构相关的恶意域名。与此同时，美国司法部控制了中央基础设施，欧洲和日本的执法机构关闭了支持该行动的本地服务器。

超过1300个域名已被重定向至微软控制的服务器（称为“sinkholes”），这些服务器目前正在收集情报，以帮助保护用户并支持正在进行的调查。此举切断了恶意软件传输被盗数据或接收攻击者指令的能力。

Lumma不仅仅是一个恶意软件，它更是一门生意。它采用分级订阅模式，提供的服务范围从250美元的基本凭证窃取工具到2万美元的完整源代码访问。它的开发者，网名“Shamel”，像经营一家初创公司一样运营着Lumma，用独特的小鸟标志和淡化其恶意的口号来推广Lumma。

在2023年接受一位安全研究员的采访时，沙梅尔声称自己拥有400名活跃客户。尽管他参与了广泛的欺诈活动，但他的公开露面却反映了一个更广泛的问题：网络犯罪分子在不重视执法或国际合作的司法管辖区肆无忌惮地活动。

拆除Lumma的行动得到了众多公司的支持，包括ESET、Cloudflare、Lumen、CleanDNS、BitSight和GMO Registry。每家公司都在识别基础设施、共享威胁情报以及快速有效地执行清除任务方面发挥了作用。

“这展现了执法部门与行业联手的强大力量，”总部位于马萨诸塞州的网络安全公司Black Duck基础设施安全业务总监托马斯·理查兹表示。“瓦解这一行动将保护数十万人的安全。但后续行动同样重要，确保受害者得到警报和支持。”

理查兹补充说，近年来恶意软件即服务市场的增长需要各个部门的持续合作，以限制此类工具造成的损害。

虽然此次行动挫败了网络上最猖獗的信息窃取者之一，但Lumma只是众多每天针对用户的威胁之一。微软和安全专家建议公众：

1. 谨慎对待电子邮件链接和附件
2. 使用信誉良好的防病毒和反恶意软件工具
3. 保持操作系统和软件更新
4. 尽可能启用多因素身份验证

Lumma Stealer之所以受到网络犯罪分子的青睐，是因为它效果显著，而且规模巨大。通过关闭其基础设施，微软及其合作伙伴破坏了恶意行为者的有效运作能力。但只要网络犯罪仍然有利可图，打击就将继续。