Lumma Stealer zerschlagen

Microsoft stoppt die globale Ausbreitung des Lumma Stealer. Gemeinsam mit Behörden und IT-Sicherheitsfirmen wurde die Infrastruktur der Malware erfolgreich deaktiviert.

Die international koordinierte Aktion zeigt, wie wichtig Kooperation im Kampf gegen Cyberkriminalität ist. Alle Infos dazu bekommen Sie bei uns.

Was ist der Lumma Stealer?

Der Lumma Stealer, auch LummaC2 genannt, ist ein hochentwickeltes Spionage-Tool, das für den Diebstahl sensibler Daten auf Windows-Systemen konzipiert wurde. Die Malware zählt zur Kategorie der sogenannten Infostealer und wird seit spätestens 2022 über einschlägige Untergrundforen als Malware-as-a-Service (MaaS) vermarktet. Entwickelt wurde sie von einer Person mit dem Internet-Alias „Shamel“, die laut Sicherheitsforschenden in Russland aktiv ist.

Die Funktionsweise von Lumma ist darauf ausgerichtet, unbemerkt in Systeme einzudringen, dort sensible Informationen wie Login-Daten, Kreditkarteninformationen, Online-Banking-Zugänge und Krypto-Wallets abzugreifen und diese an die Steuerungsserver der Angreifer zu übermitteln. Ziel der Cyberkriminellen ist es, die erbeuteten Daten direkt zu Geld zu machen oder sie für weiterführende Angriffe, Erpressungen oder Identitätsdiebstahl zu nutzen.

Verbreitung von Lumma Stealer

Die Malware Lumma Stealer wurde bis zu ihrer Zerschlagung auf verschiedenen Wegen verbreitet, unter anderem mittels:

• Spear-Phishing-E-Mails mit manipulierten Anhängen
• Schadcode in vermeintlich harmlosen Downloads
• Malvertising – also täuschende Online-Werbung
• Gefälschte Websites bekannter Anbieter

Eine besondere Gefahr ging dabei von der Fähigkeit der Schadsoftware aus, Sicherheitsmaßnahmen gezielt zu umgehen. Lumma Stealer erkennt nämlich viele gängige Schutzsysteme und passt sein Verhalten entsprechend an. Die Malware ist zudem modular aufgebaut, das heißt, dass Cyberkriminelle Zusatzfunktionen buchen können, etwa für Tarnung, automatische Datenexfiltration oder Massenverteilung.

In einem Interview im November 2023 prahlte der Entwickler Shamel mit „etwa 400 aktiven Kunden“, was auf ein gut funktionierendes Geschäftsmodell im Cybercrime-Sektor hinweist. Lumma Stealer wird nicht nur von Einzeltätern genutzt, sondern findet auch in organisierter Cyberkriminalität und bei Ransomware-Gruppen Anwendung.

Cyberkriminelle nutzen Lumma Stealer, um Daten zu klauen und großen Schaden anzurichten. Bild: stock.adobe.com/metamorworks

Was ist Malware-as-a-Service

Lumma Stealer gilt als Malware-as-a-Service (MaaS). Dabei handelt es sich um ein Geschäftsmodell innerhalb der Cyberkriminalität, bei dem Schadsoftware nicht nur entwickelt, sondern auch als Service an Dritte vermietet oder verkauft wird. Wie bei legalen SaaS-Produkten erfolgt der Zugang meist über ein Webportal – inklusive Benutzeroberfläche, Support, regelmäßiger Updates und verschiedenen Service-Stufen.

Auch Lumma wird nach diesem Prinzip betrieben. Über russischsprachige Telegram-Gruppen und spezialisierte Darknet-Foren vertreibt der Entwickler Shamel unterschiedliche Lizenzpakete für die Malware. Abhängig vom gebuchten Paket erhalten die Kunden Zugriff auf:

• das eigentliche Schadprogramm in Form individuell anpassbarer Builds,
• Tools zur Umgehung von Sicherheitslösungen,
• eine Verwaltungsoberfläche zur Auswertung der gestohlenen Daten,
• sowie Hosting- und Verteilungsoptionen für die Malware.

Die Bezahlung erfolgt meist in Kryptowährungen. Die Preismodelle ähneln Abo-Systemen und reichen von Basisversionen bis hin zu umfangreichen Enterprise-Varianten mit automatischer Datenanalyse. Die Kosten: Im Abo-Modell 250 bis 1.000 US-Dollar, als Komplettpaket inklusive Quellcode 20.000 US-Dollar. Dank diese Infrastruktur können auch technisch weniger versierte Täter mit wenigen Klicks eine professionelle Angriffskampagne starten – ein besorgniserregender Trend in der Bedrohungslage, denn die Kombination aus Einfachheit, Modularität und Effektivität macht das Tool besonders gefährlich.

Microsoft zerschlägt Lumma Stealer

Am 13. Mai 2025 leitete Microsofts Digital Crimes Unit (DCU) eine groß angelegte, international koordinierte Aktion gegen die Lumma-Infrastruktur ein. Mit Unterstützung von Behörden wie Europol, dem U.S. Department of Justice (DOJ), dem European Cybercrime Centre (EC3) sowie Industriepartnern wie ESET, Cloudflare und Bitsight gelang es, einen zentralen Bestandteil der Malware-Verbreitung außer Betrieb zu setzen.

Kern der Maßnahme war eine Klage vor dem U.S. District Court im Bundesstaat Georgia. Auf deren Grundlage konnte Microsoft rund 2.300 Domains beschlagnahmen, die von den Betreibern des Lumma Stealer zur Steuerung und Verbreitung der Malware genutzt wurden. Diese Domains bildeten das Rückgrat der Kommunikationsinfrastruktur zwischen den infizierten Geräten und den Servern der Täter.

Zusätzlich wurde das Kontrollsystem von Lumma deaktiviert, über das Angriffe geplant, Daten gesammelt und Auswertungen durchgeführt wurden. Parallel wurden Handelsplattformen gestört, über die Cyberkriminelle die Malware erwarben oder weiterverkauften.

Ein zentrales Element der Zerschlagung war die sogenannte „Sinkhole“-Technik: Mehr als 1.300 beschlagnahmte oder übertragene Domains wurden auf Server von Microsoft umgeleitet, um die Kommunikation der Schadsoftware zu unterbinden und gleichzeitig weitere Erkenntnisse zu sammeln. So konnte die DCU-Rückschlüsse auf Angriffswege und Täterstrukturen ziehen, aktive Infektionen identifizieren und Partnern im öffentlichen sowie privaten Sektor gezielte Warnmeldungen übermitteln.

HAcker nutzen Lumma, um Zugriff auf fremde Geräte zu bekommen und Daten zu stehlen. Bild: stock.adobe.com/ronniechua

Zahlen und Fakten: Das Ausmaß der Bedrohung

Zwischen dem 16. März und dem 16. Mai 2025 identifizierte Microsoft mehr als 394.000 infizierte Windows-Systeme weltweit, auf denen der Lumma Stealer aktiv war. Besonders betroffen war Europa, aber auch in Nordamerika, Asien und Lateinamerika wurden zahlreiche Vorfälle dokumentiert.

Die hohe Verbreitung zeigt, wie effektiv und aggressiv die Malware in Umlauf gebracht wurde. Die Malware war seit Ende 2022 aktiv und gewann unter Cyberkriminellen an Beliebtheit, nachdem durch die Zerschlagung von Redline und Meta ein Vakuum im Infostealer-Markt entstanden war.

Die Schadsoftware bedroht nahezu alle Branchen. Betroffen waren unter anderem:

• Bildungseinrichtungen
• Banken und Finanzdienstleister
• Gesundheitsdienste
• Unternehmen aus der Fertigung und Logistik
• sowie Anbieter von Telekommunikationslösungen.

Neben Unternehmen wurden auch zahlreiche Privatpersonen Opfer der Angriffe – insbesondere durch Phishing-Kampagnen, bei denen offizielle Webseiten fälschten und so an Login-Daten gelangten. Laut Microsoft Threat Intelligence zählten gefälschte CAPTCHA-Seiten, eingebettete Login-Felder und täuschend echte Designkopien zu den gängigen Täuschungsmethoden.

Die Attacken wurden häufig automatisiert ausgeführt. Entsprechend hoch war die Zahl an gestohlenen Daten – von Zugangsdaten über Kreditkarteninformationen bis hin zu Krypto-Wallets. Der finanzielle Schaden lässt sich aktuell nur grob schätzen, dürfte aber in die Millionenhöhe gehen.

Technische Details von Lumma Stealer

Der Lumma Stealer ist technisch so konzipiert, dass er Sicherheitsmechanismen umgeht und unbemerkt im Hintergrund Daten absaugt. Die Schadsoftware nutzt mehrere Einfallstore und passt sich dynamisch an die Umgebung des angegriffenen Systems an. Dabei wird sie häufig in gezielte Spear-Phishing-Kampagnen eingebunden oder über schädliche Werbeanzeigen (Malvertising) verteilt.

Zu den zentralen Angriffstechniken gehören:

• Spear-Phishing mit gefälschten Markenauftritten, etwa als Microsoft- oder Booking.com-Seite mit Login-Feldern
• Tarnung durch legitime Dateiformate, etwa manipulierte PDF- oder Office-Dokumente
• CAPTCHA-Täuschungen, um Vertrauen zu schaffen und Schutzmechanismen zu umgehen
• Code-Verschleierung, um die Erkennung durch Antivirenlösungen zu erschweren,
• sowie automatisierte Datenexfiltration via HTTPS zu Steuerungsservern.

Besonders kritisch: Lumma kann so konfiguriert werden, dass bestimmte Sicherheitslösungen bewusst ignoriert oder umgangen werden. In vielen Fällen erkennt die Malware, ob sie in einer Analyseumgebung läuft, und verändert daraufhin ihr Verhalten, um eine Entdeckung zu verhindern.

Die gestohlenen Daten werden verschlüsselt übertragen und stehen den Angreifern in einem webbasierten Dashboard zur Verfügung – inklusive Suchfunktionen, Filteroptionen und Exportmöglichkeiten. Dieses zentrale Portal ist integraler Bestandteil des MaaS-Modells und ermöglicht auch weniger technisch versierten Tätern die Auswertung und Verwertung der erbeuteten Informationen.

Zusammenarbeit lautete das Zauberwort, um Lumma Stealer zu deaktivieren. Bild: stock.adobe.com/alphaspirit

Zusammenarbeit als Schlüssel zum Erfolg

Die erfolgreiche Zerschlagung der Lumma-Infrastruktur zeigt eindrucksvoll, wie entscheidend die enge Zusammenarbeit zwischen staatlichen Stellen und der Privatwirtschaft im Kampf gegen Cyberkriminalität ist. Kein einzelner Akteur hätte diese globale Bedrohung allein stoppen können – erst das koordinierte Handeln mehrerer Organisationen ermöglichte eine effektive Unterbrechung der kriminellen Aktivitäten.

Beteiligt waren unter anderem:

• Microsofts Digital Crimes Unit (DCU) als federführende Instanz
• Europol und das European Cybercrime Centre (EC3) für länderübergreifende Ermittlungen
• das U.S. Department of Justice (DOJ),
• der U.S. District Court in Georgia für rechtliche Maßnahmen
• sowie Industriepartner wie ESET, Cloudflare, Lumen, Bitsight, CleanDNS und GMO Registry, die technische Expertise und Infrastruktur bereitstellten.

Die Kooperation auf internationaler Ebene bewährte sich nicht nur technisch, sondern auch organisatorisch: Ermittlungen liefen parallel in mehreren Ländern, rechtliche Schritte wurden abgestimmt, technische Gegenmaßnahmen schnell umgesetzt. Damit wurde Lumma Stealer nicht nur technisch gestört, sondern auch als Plattform nachhaltig geschwächt.

Was Unternehmen jetzt wissen müssen

Die Zerschlagung von Lumma ist ein wichtiger Schritt – aber längst kein Grund zur Entwarnung. Für Unternehmen bedeutet die Bedrohungslage weiterhin: Wer digitale Systeme betreibt, muss aktiv in die eigene IT-Sicherheit investieren. Denn auch wenn zentrale Strukturen wie die von Lumma stillgelegt wurden, ist nicht auszuschließen, dass Nachfolger entstehen oder bestehende Varianten weiter im Umlauf sind.

Besonders gefährdet sind kleine und mittlere Unternehmen (KMU), die häufig nicht über eigene IT-Abteilungen verfügen und deren Schutzmaßnahmen lückenhaft oder veraltet sind. Dabei zeigen aktuelle Vorfälle, wie systematisch Infostealer wie Lumma eingesetzt werden – auch in gezielten Angriffen auf Unternehmen im Mittelstand.

Wichtige Punkte, die Verantwortliche jetzt beachten sollten:

• Infektionswege analysieren: Welche E-Mail-Kampagnen, Downloads oder Webseiten waren im Einsatz?
• Sicherheitsrichtlinien prüfen: Gibt es aktuelle Regelungen zur Passwortvergabe, Zugriffsverwaltung und E-Mail-Nutzung?
• Systeme kontrollieren: Gibt es Anzeichen für kompromittierte Konten, ungewöhnliche Datenflüsse oder nicht autorisierte Logins?
• Awareness schaffen: Wissen Mitarbeiter, woran sich Phishing-Mails oder gefälschte Loginseiten erkennen lassen?

Die Bedrohung durch Malware wie Lumma betrifft nicht nur einzelne Geräte, sondern kann ganze Geschäftsprozesse lahmlegen – mit Folgen bis hin zu Datenschutzverletzungen, Reputationsverlust und finanziellen Schäden.

Es gibt verschiedenste Möglichkeiten, sich vor Infostealern zu schützen – PC-SPEZIALIST berät Sie gern zu den Möglichkeiten. Bild: stock.adobe.com/chinnarach

So schützt man sich vor Infostealern

Ein wirksamer Schutz vor Malware wie dem Lumma Stealer erfordert eine Kombination aus technischer Absicherung, organisatorischen Maßnahmen und Sensibilisierung der Mitarbeiter. Denn Infostealer setzen nicht nur auf technische Schwachstellen, sondern oft auch auf menschliches Fehlverhalten.

Diese Schutzmaßnahmen helfen konkret:

• Multi-Faktor-Authentifizierung (MFA) aktivieren: Selbst, wenn Zugangsdaten gestohlen werden, bleibt der Zugriff auf Systeme durch MFA blockiert.
• Aktuelle Anti-Malware-Lösungen verwenden: Nur moderne Sicherheitslösungen erkennen die neuesten Schadcode-Varianten zuverlässig.
• Systeme regelmäßig patchen und aktualisieren: Sicherheitslücken in Betriebssystemen und Anwendungen werden oft von Malware ausgenutzt.
• E-Mail-Kommunikation absichern: Schulungen zu Phishing-Erkennung und technische Filter für verdächtige Inhalte sind Pflicht.
• Zugriffsrechte strikt begrenzen: Jeder Mitarbeiter sollte nur die Rechte erhalten, die für die jeweilige Aufgabe nötig sind – Stichwort: Zero Trust.
• Backups regelmäßig durchführen und prüfen: Im Fall einer Infektion lassen sich Systeme nur mit vollständigen, aktuellen Sicherungen wiederherstellen.

Auch der Einsatz von Sicherheitslösungen mit zentralem Management, erhöht die Widerstandskraft gegenüber Cyberbedrohungen erheblich. Für KMU empfiehlt sich außerdem eine externe Sicherheitsüberprüfung durch IT-Dienstleister, um Schwachstellen gezielt zu identifizieren und zu beheben.

IT-Schutz von PC-SPEZIALIST

Cyberkriminelle wie die Betreiber von Lumma agieren gezielt, koordiniert und mit hohem technischen Know-how. Umso wichtiger ist es, auf einen starken IT-Partner zu setzen – insbesondere dann, wenn intern nicht die nötigen Kapazitäten vorhanden sind.

PC-SPEZIALIST unterstützt Unternehmen jeder Größe mit individuell zugeschnittenen IT-Lösungen. Ob professioneller Virenschutz, regelmäßige Sicherheitsupdates, E-Mail-Schutz oder vollständige IT-Betreuung – unsere Experten vor Ort sorgen dafür, dass Ihre Systeme zuverlässig geschützt sind.

Unsere Leistungen umfassen unter anderem:

• Einrichtung und Pflege aktueller Sicherheitssoftware
• Beratung zur Einführung von Multi-Faktor-Authentifizierung
• Durchführung von Systemprüfungen und Schwachstellenanalysen
• Schulungen zur Erkennung von Phishing- und Malware-Gefahren
• Unterstützung bei Backup-Strategien und Wiederherstellungskonzepten

Sie möchten wissen, wie sicher Ihre IT wirklich ist? Dann nehmen Sie noch heute Kontakt zu PC-SPEZIALIST in Ihrer Nähe auf. Wir sind gern für Sie da.
_______________________________________________

Quellen: Microsoft, Bitsight, Pexels/Andrea Piacquadio (Headerbild)