Il 13 maggio 2025, Microsoft, attraverso la sua Digital Crimes Unit (DCU), ha annunciato una significativa operazione contro Lumma Stealer, uno dei più pericolosi malware per il furto di informazioni in circolazione. Grazie alla collaborazione con partner internazionali come Europol, il Dipartimento di Giustizia degli Stati Uniti e autorità giapponesi, Microsoft ha ottenuto un’ordinanza giudiziaria che ha portato al sequestro e alla disattivazione di oltre 2.300 domini dannosi, fulcro dell’infrastruttura operativa del malware.

Lumma Stealer è un cosiddetto Malware-as-a-Service (MaaS), ovvero un software malevolo venduto e noleggiato a criminali informatici attraverso forum del dark web. In uso almeno dal 2022, Lumma è progettato per sottrarre password, dati bancari, portafogli di criptovalute e altre informazioni sensibili sia a utenti privati che a organizzazioni. Il malware viene impiegato per compiere frodi finanziarie, estorsioni informatiche (come nel caso delle scuole tenute in ostaggio da ransomware) e attacchi ai danni di infrastrutture critiche.

L’azione legale è stata condotta dal tribunale distrettuale del Nord della Georgia, che ha autorizzato Microsoft al sequestro dei domini coinvolti. Parallelamente, il Dipartimento di Giustizia statunitense ha preso il controllo della struttura di comando centrale del malware e ha interrotto l’attività dei marketplace digitali in cui Lumma veniva venduto a terzi. Europol e la Cybercrime Control Center del Giappone hanno invece contribuito alla disattivazione delle infrastrutture presenti nei loro territori.

Microsoft Lumma Stealer

Una mappa che illustra la diffusione globale delle infezioni Lumma Stealer sui dispositivi Windows.

Nei soli due mesi compresi tra marzo e maggio 2025, Microsoft ha rilevato oltre 394.000 computer Windows infettati da Lumma in tutto il mondo. Grazie alla collaborazione con forze dell’ordine e aziende tecnologiche, Microsoft è riuscita a interrompere la comunicazione tra i dispositivi infetti e i server dei criminali. Oltre 1.300 domini sono stati trasferiti sotto il controllo di Microsoft, di cui 300 con l’aiuto diretto delle autorità europee. Questi domini vengono ora reindirizzati verso sinkhole, server che raccolgono dati per monitorare e neutralizzare l’attività residua del malware.

L’obiettivo non è solo interrompere l’attività immediata di Lumma, ma anche rallentare le capacità operative dei criminali, rendere meno efficaci le loro campagne e soprattutto ridurre i profitti derivanti dal furto di dati.

Cos’è Lumma Stealer?

Lumma è un malware modulare e molto sofisticato. Si installa tramite email di spear-phishing (messaggi ingannevoli mirati) o pubblicità malevole (malvertising) che spesso imitano brand noti come la stessa Microsoft o Booking.com. Un esempio recente ha visto circolare finte email da parte di una presunta agenzia viaggi, con un link che installava il malware e rubava credenziali bancarie.

Il software è particolarmente pericoloso perché facile da distribuire, difficile da rilevare e capace di eludere molte difese antivirus. Viene anche personalizzato in base al tipo di abbonamento scelto; sono infatti disponibili pacchetti da 250 a 20.000 dollari, quest’ultimo comprendente perfino il codice sorgente completo, e ciò offre la massima libertà di personalizzazione ai cybercriminali.

Pagina di avviso visualizzata su oltre 900 domini sequestrati da Microsoft.

Pagina di avviso visualizzata su oltre 900 domini sequestrati da Microsoft.

Dietro al malware c’è uno sviluppatore russo noto con il nome online di Shamel, che ha trasformato Lumma in un vero e proprio marchio, con tanto di logo (un uccello simbolo, a suo dire, di “pace e tranquillità”) e slogan pubblicitari come “fare soldi con noi è facile”. In un’intervista del 2023, Shamel dichiarava di avere oltre 400 clienti attivi.

L’operazione Microsoft evidenzia ancora una volta l’evoluzione del crimine informatico, sempre più strutturato e simile al mondo delle imprese legittime, con modelli di business, assistenza clienti e piani tariffari. Lumma è stato associato anche a gruppi di ransomware come Octo Tempest (noto anche come Scattered Spider) ed è stato utilizzato per colpire settori strategici come finanza, sanità, logistica e telecomunicazioni.

La facilità con cui Shamel e altri sviluppatori riescono a operare da “santuari digitali” dimostra la necessità di una cooperazione internazionale più rigorosa e della piena applicazione delle norme di due diligence da parte dei Paesi che offrono (volontariamente o meno) rifugio a queste attività criminali.