Inhaltsverzeichnis
Microsoft und Europol stoppen Lumma-Malware: 400.000 PCs befreit
Mit einem koordinierten Schlag haben Microsoft, Europol und weitere Partner die bisher größte Infrastruktur der Lumma-Malware zerschlagen und damit die Kommunikation zwischen den Tätern und hunderttausenden infizierten Rechnern unterbrochen. Mehr als 1.300 Kontrollserver wurden beschlagnahmt und in harmlose Sinkholes umgeleitet. Für IT-Verantwortliche bedeutet das eine spürbare Entlastung – aber auch den dringenden Hinweis, die eigenen Systeme jetzt auf mögliche Lumma-Spuren zu prüfen.
Lumma-Stealer – Funktionsweise und Verbreitung
Lumma ist ein Infostealer, den sein Entwickler als „Malware-as-a-Service“ vermarktet. Gegen eine Monatsgebühr erhalten Kriminelle eine komfortable Weboberfläche, auf der sie eigene Binärdateien erzeugen, Befehle absetzen und gestohlene Daten einsammeln können. Die Verbreitung erfolgt über mehrere Vektoren: manipulierte Werbeanzeigen, die trojanisierte Installationspakete anpreisen, Phishing-Kampagnen mit gefälschten Rechnungen, Drive-By-Downloads auf kompromittierten Webseiten oder als Beifang anderer Schadprogramme. Hat Lumma sich eingenistet, analysiert der Stealer Browserprofile, Krypto-Wallets, VPN-Konfigurationen und Dokumente. Er sammelt sogar Hardware-Informationen des Systems, um spätere Angriffe besser zu planen. Die Datenpakete werden verschlüsselt und über ein gestaffeltes Netzwerk von Zwischenservern zu Command-and-Control-Adressen transportiert, was Rückverfolgungen erschwert.
Darüber hinaus kann Lumma zusätzliche Schadsoftware nachladen, etwa Ransomware oder Crypto-Miner, was das Risiko für Unternehmen weiter erhöht. Allein zwischen 16. März und 16. Mai 2025 registrierte Microsoft 394.000 infizierte Windows-PCs weltweit – ein Indikator für die enorme Verbreitung. Wer über keine aktuelle Antivirensoftware verfügt, ist der Bedrohung schutzlos ausgeliefert.
Vorgehen der Ermittler: 1.300 C2-Server abgeschaltet
Microsofts Digital Crimes Unit (DCU) setzte den Schwerpunkt auf die Infrastruktur, nicht auf einzelne Geräte. Mit einer Verfügung des Bundesgerichts des Northern District of Georgia durften Ermittler 2.300 für Lumma registrierte Domains beschlagnahmen. Über diese Domains liefen die sogenannten Command-and-Control-Kanäle, über die der Stealer Befehle empfing und Dateien exfiltrierte. Am 21. Mai 2025 transferierte Microsoft über 1.300 dieser Adressen in eigene Sinkhole-Netze. Dort nehmen Analyse-Server die Anfragen kompromittierter Rechner entgegen, ohne den Angreifern zurückzuschreiben. Opfergeräte erhalten keine neuen Instruktionen, Betreuer gewinnen stattdessen Einblick in den Schadverkehr.
Parallel deaktivierten Partner wie Cloudflare, Lumen, CleanDNS und der US-Justizdienst die verbleibenden Kontrollserver. Dadurch zersplitterte das Netzwerk in Dutzende isolierte Fragmente, die aktuell kaum noch Daten übernehmen können. Der heftige Aderlass zwingt die Betreiber, neue Infrastruktur anzumieten, Zertifikate einzurichten und frische Links in ihre Kampagnen einzupflegen – ein kostspieliger und riskanter Prozess, der Zeit kostet und Spuren hinterlässt.
Kooperation als Schlüssel im Digitalzeitalter
Europol bezeichnete die erfolgreiche Operation ausdrücklich als Musterbeispiel dafür, wie öffentliche Hand und Privatwirtschaft Cybercrime gemeinsam eindämmen können. Die EU-Behörde koordinierte Ermittler aus mehreren Kontinenten und stellte sicher, dass Beweismittel rechtssicher gesichert wurden. Gleichzeitig brachten Cloud- und Sicherheitsunternehmen ihre technische Expertise ein: CleanDNS identifizierte verdächtige Domain-Cluster, Lumen analysierte Backbone-Verkehr, während Cloudflare die Abschaltung von hinterlegten Sub-Domains beschleunigte.
Microsoft, bekannt für Produkte wie Microsoft Windows und Microsoft Office, stellte nicht nur seine Telemetrie, sondern auch Rechtskapazitäten bereit, um richterliche Anordnungen zu erwirken und Infrastruktur schnell umzuleiten. Dieses Zusammenspiel verkürzt die Zeit zwischen Erkennung und Eingriff drastisch. Nach Angaben des Konzerns lagen zwischen dem Auffinden der ersten Infektionen am 16. März und der gerichtlichen Genehmigung gerade einmal acht Wochen.
Schnelle Entscheidungswege sind entscheidend, weil Infostealer wie Lumma häufig automatisch neue C2-Adressen generieren. Indem Behörden und Unternehmen Erkenntnisse nahezu in Echtzeit teilen, schließen sie diese Lücke und erzeugen einen Dominoeffekt: Je schneller ein Server offline geht, desto größer werden die betrieblichen Kosten für die Täter und desto geringer ihr Ertrag.
Konsequenzen und Empfehlungen für Ihre IT-Sicherheit
Für Sie als Administratorin oder Administrator bedeutet der Schlag gegen Lumma zwar eine Entlastung, aber keinesfalls Entwarnung. Sinkholes verhindern neue Kommandos, doch bereits gestohlene Zugangsdaten liegen weiterhin in den Händen der Angreifer. Prüfen Sie daher umgehend, ob auf Ihren Systemen Logdateien oder Speicherorte wie %AppData% Hinweise auf Lumma-Artefakte enthalten. Setzen Sie kompromittierte Passwörter zurück, erzwingen Sie mehrstufige Authentifizierung und widerrufen Sie gespeicherte Tokens in Cloud-Plattformen.
Überwachen Sie außerdem ausgehende Verbindungen: Verbindungsversuche zu den nun sinkgeholten Domains liefern einen klaren Indikator für versteckte Infektionen. Nutzen Sie die Gelegenheit, Ihre Incident-Response-Pläne zu testen, denn das Fenster für forensische Analysen ist nach der Abschaltung besonders günstig: Die Malware versucht vergeblich, ihre Server zu erreichen, und hinterlässt eindeutige Fehlermuster. So können Sie kompromittierte Hosts isolieren, Logs sichern und anschließend mit vertrauenswürdigen Backups neu aufsetzen, bevor die Angreifer ihre Infrastruktur erneuert haben.