Comeback von Lumma und NoName057(16): Cybercrime-Zerschlagung misslungen

Gelingt Strafverfolgungsbehörden ein größerer Schlag gegen Akteure und Infrastrukturen des Cybercrime, so ist der Rückgang der verbrecherischen Aktivitäten selten von Dauer: Nach ein paar internen Umbauten setzen sie ihre Angriffe häufig fort, als sei (fast) nichts geschehen.

So auch im Falle zweier Gruppen, die erst kürzlich zum Ziel internationaler Operationen wurden: Sicherheitsforscher haben neue Aktivitäten des berüchtigten Infostealers Lumma beobachtet, und auch die politisch motivierte russische dDoS-Gruppe (distributed Denial-of-Service) NoName057(16) attackierte schon nach wenigen Tagen Funkstille wieder munter deutsche Websites.

Parallel dazu wächst offenbar eine neue Bedrohung heran: US-Behörden haben eine gemeinsame Warnmeldung zu einer Ransomware namens Interlock veröffentlicht. Die ist zwar schon länger aktiv, soll nun jedoch ihre Aktivitäten ausgeweitet haben.

Lumma: wieder voll im Geschäft

Erst Ende Mai dieses Jahres war einem Kollektiv aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ein empfindlicher Schlag gegen Lumma gelungen. Nachdem Microsoft allein zwischen Mitte März und Mitte Mai rund 400.000 infizierte Windows-Rechner registriert hatte, schlug das Unternehmen zu: Es leitete die Kommunikation zwischen dem Schadprogramm und den Command-and-Control-Servern (C2) der Angreifer zu eigenen Servern um (Sinkholing) und unterband so die kriminellen Aktivitäten. Außerdem wurden nach Angaben Microsofts im Austausch mit Europol ermittelte Angreifer-Domains identifiziert und beschlagnahmt.

Zur „Zerschlagung“ des Lumma-Stealers, der auf infizierten Rechnern unter anderem Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumente im PDF- oder Word-Format abgreift, reichte das aber nicht. Sicherheitsforscher von Trend Micro haben beim gezielten Monitoring von Lumma-Aktivitäten festgestellt, dass der Informationsdiebstahl mittlerweile wieder in vollem Gange ist.

Gegenüber heise security bestätigte ein Experte von Trend Micro, dass es sich bei dem beobachteten Infostealer wahrscheinlich um Lumma handele: „We are sure that this resurgence is Lumma because we have our own automated process of sourcing (through internal rules) and validation of Lumma Stealer samples and Command and Control URLs“.

Statistiken aus Trend Micros Blogeintrag zur Lumma-Rückkehr bilden einen nahezu kompletten Stopp der Malware-Aktivitäten nach Microsofts am 21. Mai 2025 publik gemachten Sinkholing-Aktion ab. Doch bereits ab Anfang Juni kehrten die Gangster allmählich zum „business as usual“ zurück und erreichten im Laufe des Juli wieder ihr vorheriges Aktivitätsniveau.

Auffällig seien damit einhergehende Umbauten der C2-Struktur: Während Lumma zuvor stark auf das Hosting bei Cloudflare gesetzt habe, hätten die Kriminellen ihre Infrastruktur nun stärker diversifiziert. Zur neuen Mischung alternativer Provider zählten verstärkt auch legitime Data Center und Cloud-Infrastruktur-Anbieter mit Sitz in Russland.

NoName057(16): Vergeltungsaufrufe via Telegram

Noch schneller als die Lumma-Gang ließen die Drahtzieher hinter „NoName057(16)“ wieder von sich hören – nämlich schon wenige Tage nach der „Operation Eastwood“ internationaler Strafverfolger vergangene Woche. Laut Bundeskriminalamt (BKA) wurde bei besagter Aktion das Botnetz der Gruppierung abgeschaltet. Außerdem wurden drei Objekte durchsucht und sechs internationale Haftbefehle erlassen; die Fahndung läuft.

Grund für die seit November 2023 laufenden und in die Operation mündenden Ermittlungen waren zahlreiche dDos-Angriffswellen, in deren Zuge deutsche Firmen- und Behörden-Websites lahmgelegt wurden. Aber auch andere Länder wie etwa die Schweiz waren Ziel der Attacken, mit denen die Gruppe eine prorussische politische Botschaft aussenden wollte.

In ihrem Propagandakanal beim Messengerdienst Telegram zeigten sich die Russen unbeeindruckt von den Strafverfolgungsmaßnahmen. Sie bezeichneten die „Operation Eastwood“ als wertlos und riefen ihre Unterstützer zu Vergeltung auf. Nach eigener Aussage setzten sie am gestrigen Mittwoch die Website des Bundesministeriums für Digitalisierung und Staatsmodernisierung, verschiedene Polizeibehörden und die Internetpräsenz des Bundespräsidenten außer Gefecht.

Die Attacken dürften außerhalb der Telegram-Echokammer der Hacktivisten aber großteils unbemerkt geblieben sein – alle genannten Webseiten waren nach kurzer Zeit wieder problemlos abrufbar. Weitere Angriffe auf Websites deutscher Städte und Behörden wurden bereits vollmundig bei Telegram angekündigt.

Interlock: Der nächste Big (Ransomware) Player?

Zu den bereits vorhandenen Bedrohungen hat sich eine weitere gesellt, die IT-Verteidiger im Blick behalten sollten: Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat gemeinsam mit dem FBI und weiteren Beteiligten einen Sicherheitshinweis zur Ransomware Interlock veröffentlicht. Die ist bereits seit September 2024 aktiv und soll laut CISA auf Unternehmen und Organisationen, aber auch auf Kritische Infrastrukturen abzielen – und zwar sowohl in Nordamerika als auch in Europa.

Interlocks Strategie der doppelten Erpressung (Double Extortion) mit Verschlüsselung, aber auch Exfiltrierung sensibler Daten ist mittlerweile Standard in der Ransomware-Szene. Bemerkenswert ist, dass laut CISA sowohl Interlock-Versionen für Windows- als auch für Linux-Systeme existieren. Dort zielen sie jeweils primär auf die Verschlüsselung installierter virtueller Maschinen (VMs) ab.

Ein beliebtes Einfallstor sind laut CISA unter anderem kompromittierte legitime Websites, auf denen ein Drive-by-Download lauert – laut Sicherheitshinweis eine eher ungewöhnliche Infektionsmethode für Ransomware. Die Bande hinter Interlock setzt zudem (wie auch Lumma) auf Social Engineering in Gestalt gefälschter Captchas mit Nutzerinteraktion („ClickFix“). Weitere Informationen sowie Kompromittierungsindikatoren (Indicators of Compromise, IoC) sind dem Sicherheitshinweis zu entnehmen.

Übrigens haben die CISA-Analysten beobachtet, dass im Zuge von Interlock-Infektionen hin und wieder auch Lumma auf die Systeme geschleust wurde. Eine ungute Allianz, die sich nun fortsetzen könnte. Bis zur nächsten Cybercrime-Zerschlagung – und der sich (mit hoher Wahrscheinlichkeit) anschließenden „Wiederauferstehung“.

(ovw)