Crédito: Dominio público de Pixabay/CC0
Los mensajes parecían inocuos, incluso mundanos. Alguien que se hizo pasar por un posible invitado envió un correo electrónico a un hotel sobre un supuesto comentario que quedó en Booking.com. Supuestamente, otro mensaje fue de ese sitio de reserva de terceros para revisar los comentarios negativos de los invitados.
Pero todos eran falsos. Los correos electrónicos fueron estafas de phishing diseñadas para que el destinatario descargue software malicioso a su computadora que pudiera robar información financiera y credenciales.
Ahora, un gigante tecnológico y los gobiernos de todo el mundo están desmantelando una constelación de malware llamada Staaler de Lumma que las autoridades dicen que está detrás de ese ciberataque. La infraestructura digital de Lumma está siendo eliminada por una operación internacional entre Microsoft, el Departamento de Justicia de los Estados Unidos, Europol y el Centro de Control de Cibercrimen de Japón, según declaraciones de Microsoft y documentos revelados el miércoles en la corte federal en Atlanta.
Lumma es “uno de los escaladores de información más reconocidos Malwares que existen”, dijo Steven Masada, Asesor General Asistente y Director de la Unidad de Delitos Digitales en Microsoft, a Atlanta Journal-Constitution. En 2024, Lumma infectó 1,8 millones de hosts o dispositivos, según un informe de la compañía de seguridad cibernética Flashpoint.
Es un tipo de software malicioso que se vende a través de la web oscura a las personas que desean robar contraseñas, números de tarjetas de crédito, información de cuenta bancaria y billeteras de criptomonedas. Lumma ha permitido a los ciberdelincuentes infiltrarse en industrias como el transporte, las finanzas y la atención médica, mantener escuelas para cuentas bancarias de rescate y vacías, según Microsoft.
Lumma ha existido desde 2022 y es parte del surgimiento del delito cibernético como industria de servicios, según Masada.
Funciona un poco como otras empresas de software, ofreciendo a los clientes suscripciones mensuales o anuales en diferentes niveles de precios dependiendo de la cantidad de personalización y control que desean del software. Ha sido utilizado por cientos de grupos cibercriminales y grupos afiliados al estado-nación en todo el mundo, dijo Masada.
Pero en lugar de darle a alguien un procesador de textos o la capacidad de editar PDFS, Lumma se usa para fines nefastos, como el CyberAttack Imponsing Booking.com, un ejemplo importante de la amplitud y profundidad del malware.
“Los ciberdelincuentes están comercializando y vendiendo sus servicios a otros cibercriminales para escalar de manera efectiva las operaciones”, dijo Masada. Llamó a Lumma un enlace en la cadena de suministro del delito cibernético.
Entre marzo y mayo, Microsoft identificó más de 394,000 computadoras de Windows en todo el mundo que habían sido infectadas por el malware Lumma. Al menos 532 computadoras fueron infectadas en Georgia, según documentos judiciales. Atlanta fue una de las ciudades estadounidenses más afectadas por Lumma.
Microsoft presentó una demanda civil federal contra Lumma el 13 de mayo en Atlanta debido al alto volumen de víctimas en la región, incluida Booking.com, que tiene una gran presencia en el área. Booking.com no respondió de inmediato a una solicitud de comentarios.
Microsoft trabajó con otras compañías de ciberseguridad y la aplicación de la ley para compartir inteligencia y trabajar en desmantelar diferentes partes de la extensa red de Lumma.
La semana pasada, Microsoft recibió bajo una orden judicial que le permitió comenzar a derribar, suspender y bloquear alrededor de 2.300 dominios que formaban parte de la infraestructura de Lumma.
El Departamento de Justicia interrumpió el mercado de Lumma y confiscó su estructura de comando central. El Centro Europeo de Crimen Cibercrimen de Europol y el Centro de Control de Cibercrimen Cibercrimen de Japón suspendieron la infraestructura de Lumma en sus jurisdicciones.
Microsoft redirigirá los dominios que ha tomado en una nube monitoreada por el gigante tecnológico para construir inteligencia y potencialmente identificar dispositivos más infectados, dijo Masada.
Pero a pesar de esta operación coordinada, las identidades de las personas detrás de Lumma siguen siendo un misterio. Todos los funcionarios de Microsoft dicen que han podido reconstruir es que el desarrollador principal es alguien con sede en Rusia que pasa por el alias “Shamel” y que hay otras personas involucradas en el malware.
Microsoft recibió una orden de restricción temporal contra 10 demandantes no identificados que incluyen a Shamel, otras personas que supuestamente apoyan la infraestructura de Lumma y los clientes del malware.
Pero quien esté detrás de Lumma, Masada dijo que sabe que intentarán adaptarse y reconstruir su infraestructura. El gigante tecnológico espera eventualmente obtener un monitor de corte designado para darle rápidamente a Microsoft la autoridad para confiscar nuevos dominios que los actores maliciosos puedan ser girados.
2025 The Atlanta Journal-Constitution. Distribuido por Tribune Content Agency, LLC.
Cita: Cómo se retiró una operación global de malware de un tribunal federal en Georgia (2025, 22 de mayo) recuperada el 22 de mayo de 2025 de https://techxplore.com/news/2025-05-global-malware-federal-court-georgia.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
