AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

## El malware Lumma infostealer reaparece tras el golpe policial y recupera su actividad

admin

### Introducción

La comunidad de ciberseguridad se enfrenta nuevamente a la amenaza del infostealer Lumma, que retoma sus operaciones tras haber sido severamente impactado por una operación internacional coordinada por las fuerzas policiales en mayo de 2024. Este malware, especializado en el robo de información sensible, había visto comprometida una parte significativa de su infraestructura, incluida la incautación de más de 2.300 dominios y servidores asociados. Sin embargo, recientes investigaciones apuntan a una reactivación progresiva de su actividad, lo que plantea desafíos renovados para empresas y profesionales de ciberseguridad.

### Contexto del Incidente o Vulnerabilidad

En mayo de 2024, Europol, en colaboración con agencias de cibercrimen de Estados Unidos, Reino Unido, Alemania y otros países, ejecutó una de las mayores operaciones policiales contra el cibercrimen de los últimos años. El objetivo principal fue el ecosistema de stealers, con especial foco en Lumma, un malware de tipo infostealer que desde 2022 se ha consolidado en los principales foros underground como MaaS (Malware-as-a-Service). La operación supuso la incautación de dominios, servidores de comando y control (C2), así como la detención de varias personas vinculadas a su desarrollo y distribución.

A pesar de este golpe, las investigaciones realizadas por firmas de Threat Intelligence como Cyble y Group-IB han detectado señales claras de una reagrupación de los operadores de Lumma, quienes han migrado parte de su infraestructura a nuevos recursos y continúan distribuyendo versiones actualizadas del malware.

### Detalles Técnicos

El infostealer Lumma, conocido también como LummaC2, está clasificado bajo el TTP (Tácticas, Técnicas y Procedimientos) de MITRE ATT&CK como T1005 (Data from Local System), T1059 (Command and Scripting Interpreter), T1071.001 (Web Protocols) y T1566 (Phishing). El malware ha sido observado explotando principalmente los siguientes vectores de ataque:

– **Phishing masivo**: Campañas de correo electrónico con adjuntos maliciosos (documentos ofuscados, archivos comprimidos con ejecutables o scripts).
– **Descargas drive-by**: Landing pages comprometidas o maliciosas que aprovechan vulnerabilidades en navegadores o plugins.
– **Explotación de vulnerabilidades en software**: Casos documentados de explotación de CVE-2023-23397 (vulnerabilidad en Microsoft Outlook) para ejecución remota de código y entrega de payloads.

Lumma está desarrollado en C/C++ y utiliza técnicas avanzadas de evasión como packers personalizados, cifrado de tráfico C2 mediante TLS/SSL y mecanismos de anti-análisis. Las versiones más recientes (v4.x) añaden capacidades de exfiltración de cookies, contraseñas, tokens de autenticación, wallets de criptomonedas y detalles bancarios almacenados en navegadores (Chrome, Edge, Firefox, Opera).

#### IoC y herramientas asociadas

– **Dominios C2**: Se han identificado nuevos dominios activos como `lumma[.]cc`, `lumma-stealer[.]xyz` y una decena de variantes en TLDs exóticos.
– **Hashes de archivos**: SHA256 de variantes recientes: `b5c2d2f5e123…`, `8a7e9d4c1b34…` (consultar feeds actualizados de MISP o VirusTotal).
– **Frameworks utilizados**: Se han detectado módulos y scripts para automatizar la entrega de Lumma a través de Metasploit y Cobalt Strike.

### Impacto y Riesgos

El resurgimiento de Lumma implica una amenaza significativa para organizaciones de todos los tamaños. En el primer semestre de 2024, se estima que hasta un 12% de los incidentes de robo de credenciales en Europa han estado vinculados a variantes de Lumma. Sectores especialmente afectados incluyen banca, retail y administraciones públicas.

Los riesgos principales asociados a Lumma son:

– **Compromiso de credenciales corporativas** y personales, posibilitando ataques de movimiento lateral y escalada de privilegios.
– **Robo de datos financieros** y activos digitales (criptomonedas).
– **Filtraciones masivas** con potenciales sanciones bajo GDPR y, próximamente, NIS2.
– **Persistencia en entornos comprometidos**, facilitando ataques de ransomware y posteriores extorsiones.

### Medidas de Mitigación y Recomendaciones

Las mejores prácticas para contener y prevenir infecciones incluyen:

– **Actualización de endpoints** y parches críticos, especialmente frente a vulnerabilidades explotadas por Lumma.
– **Implementación de EDR/XDR** con detección basada en comportamiento y análisis de IoC.
– **Segmentación de red** y restricción de tráfico saliente hacia dominios sospechosos.
– **Monitorización de logs** para patrones de exfiltración y conexiones C2 no autorizadas.
– **Campañas de concienciación** en phishing y simulacros regulares de respuesta ante incidentes.
– **Revisión de políticas de acceso** y uso de autenticación multifactor (MFA) para recursos críticos.

### Opinión de Expertos

Andrés Pascual, analista de amenazas en S21sec, advierte: “La resiliencia de Lumma es un claro ejemplo de cómo las organizaciones criminales adaptan su infraestructura y modus operandi ante la presión policial. Es fundamental reforzar la inteligencia de amenazas y mantener una vigilancia activa sobre TTP’s emergentes”.

Por su parte, María Romero, CISO en una entidad financiera, resalta: “La prioridad actual debe ser la respuesta proactiva, con análisis forenses continuos y colaboración con centros de respuesta nacionales e internacionales”.

### Implicaciones para Empresas y Usuarios

El retorno de Lumma obliga a las empresas a revisar sus estrategias de ciberdefensa, especialmente en lo relativo a la protección del endpoint y la gestión de credenciales. A nivel normativo, una brecha provocada por este malware puede acarrear fuertes sanciones bajo el RGPD y, en el horizonte, la nueva directiva NIS2. Los usuarios finales, por su parte, pueden verse afectados por la exposición de datos personales y financieros, con un riesgo real de fraude y suplantación.

### Conclusiones

El caso de Lumma demuestra la capacidad de adaptación de las amenazas avanzadas tras operaciones policiales de gran calado. Su regreso al panorama del malware subraya la necesidad de un enfoque multidisciplinar en ciberseguridad, combinando inteligencia proactiva, tecnología avanzada y formación continua. Empresas y profesionales deben permanecer atentos a la evolución de Lumma y otros infostealers, reforzando sus defensas para anticipar y mitigar futuros incidentes.

(Fuente: www.bleepingcomputer.com)