Die wichtigsten Neuigkeiten im Überblick:
- Microsoft zerschlägt weltweit aktive Malware-Infrastruktur: In Kooperation mit internationalen Strafverfolgungsbehörden wie Europol und dem US-Justizministerium wurde das Info-Stealing-Tool „Lumma Stealer“ massiv eingeschränkt.
- Malware-as-a-Service: Die Schadsoftware wird über Internetforen vermarktet, ist modular erweiterbar und schwer zu erkennen.
- Hunderttausende infizierte Geräte identifiziert: Zwischen März und Mai 2025 wurden mehr als 394.000 infizierte Windows-Systeme weltweit entdeckt – darunter viele in Europa. Die Malware bedroht nahezu alle Branchen.
- Koordiniertes Vorgehen mit Industriepartnern: Unternehmen wie ESET, Lumen, Bitsight, Cloudflare, CleanDNS und GMO Registry unterstützten Microsoft bei der schnellen Deaktivierung der Infrastruktur.
- Microsoft investiert weiter in Prävention: Die Digital Crimes Unit (DCU) arbeitet kontinuierlich daran, neue Bedrohungen frühzeitig zu erkennen, Angriffsvektoren zu unterbrechen und Nutzer sowie kritische Infrastrukturen zu schützen.
Den englischsprachigen Originalbeitrag von Steven Masada, Assistant General Counsel, Microsoft Digital Crimes Unit können Sie hier nachlesen.
Die Digital Crimes Unit (DCU) von Microsoft hat gemeinsam mit internationalen Partnern das derzeit führende Tool zur Ausspähung sensibler Daten ins Visier genommen – ein Werkzeug, das ohne jede Rücksicht persönliche und geschäftliche Informationen stiehlt und Cyberkriminalität Vorschub leistet. Am Dienstag, dem 13. Mai, reichte Microsofts DCU eine Klage gegen „Lumma Stealer“ ein, eine von Hunderten Cyberkriminellen bevorzugt eingesetzte Malware zum Informationsdiebstahl. Lumma stiehlt Passwörter, Kreditkartendaten, Bankzugänge und Kryptowährungs-Wallets und hat es Täter*innen ermöglicht, Schulen zu erpressen, Bankkonten zu leeren und kritische Dienste lahmzulegen.
Auf Basis einer gerichtlichen Anordnung des U.S. District Court für den Northern District of Georgia konnte Microsoft rund 2.300 schädliche Domains beschlagnahmen und stilllegen, die das Rückgrat der Lumma-Infrastruktur waren. Gleichzeitig hat das US-Justizministerium (Department of Justice, DOJ) das zentrale Kontrollsystem von Lumma außer Betrieb gesetzt und Marktplätze gestört, über die das Tool an andere Cyberkriminelle verkauft wurde. Das European Cybercrime Centre (EC3) von Europol sowie das japanische Cybercrime Control Center (JC3) unterstützten zusätzlich die Deaktivierung lokaler Infrastrukturen von Lumma.
Zwischen dem 16. März und dem 16. Mai 2025 identifizierte Microsoft weltweit über 394.000 Windows-Geräte, die mit der Lumma-Malware infiziert waren. In enger Zusammenarbeit mit Strafverfolgungsbehörden und Partnern aus der Industrie ist es gelungen, die Kommunikation zwischen dem Schadprogramm und den betroffenen Systemen zu unterbinden. Darüber hinaus werden mehr als 1.300 von Microsoft beschlagnahmte oder an Microsoft übertragene Domains, darunter 300 Domains, die von Strafverfolgungsbehörden mit Unterstützung von Europol ermittelt wurden, künftig auf sogenannte Sinkholes von Microsoft umgeleitet.
Diese Umleitung ermöglicht es der DCU, verwertbare Informationen zu gewinnen – mit dem Ziel, die Sicherheit der Microsoft-Dienste weiter zu stärken und Nutzer*innen weltweit besser zu schützen. Gleichzeitig werden diese Erkenntnisse an Partner aus dem öffentlichen und privaten Sektor weitergegeben, um laufende Ermittlungen zu unterstützen und die Bedrohung durch Lumma gezielt einzudämmen. Diese koordinierte Maßnahme soll die Geschwindigkeit, mit der Angriffe gestartet werden, verlangsamen, die Wirksamkeit krimineller Kampagnen reduzieren und die illegalen Einnahmen der Täter*innen deutlich schmälern, indem ein zentraler Teil ihrer Infrastruktur beschnitten wird.
Heatmap zeigt weltweite Verbreitung der Lumma-Stealer-Malware auf Windows-Geräten
Hinweisseite auf über 900 von Microsoft beschlagnahmten Domains
Was ist Lumma?
Lumma ist ein „Malware-as-a-Service“-Tool (MaaS), das seit spätestens 2022 über Untergrundforen vermarktet und verkauft wird. Im Laufe der Zeit haben die Entwickler*innen mehrere Versionen veröffentlicht, um die Fähigkeiten der Malware kontinuierlich zu verbessern. Weitere Details zu den Verbreitungsmechanismen und technischen Eigenschaften von Lumma stellt Microsoft Threat Intelligence in einem aktuellen Blogbeitrag bereit.
Das Ziel der Lumma-Betreiber*innen ist in der Regel, gestohlene Informationen zu Geld zu machen oder diese für weitere Angriffe zu nutzen. Lumma lässt sich leicht verbreiten, ist schwer zu erkennen und kann so konfiguriert werden, dass bestimmte Sicherheitsmechanismen umgangen werden – was sie zu einem bevorzugten Werkzeug für Cyberkriminelle und Bedrohungsakteure macht, darunter auch bekannte Ransomware-Gruppen wie Octo Tempest (auch bekannt als Scattered Spider). Die Schadsoftware gibt sich häufig als vertrauenswürdige Marke – darunter auch Microsoft – aus und wird über gezielte Spear-Phishing-E-Mails, schädliche Online-Werbung (Malvertising) und andere Angriffsvektoren verbreitet.
Ein Beispiel: Im März 2025 identifizierte Microsoft Threat Intelligence eine Phishing-Kampagne, die sich als die Online-Reiseplattform Booking.com ausgab. In dieser Kampagne kamen verschiedene Passwortdiebstahl-Malwares, darunter auch Lumma, zum Einsatz, um Finanzbetrug und Diebstahl zu begehen. Lumma wurde zudem eingesetzt, um gezielt Gaming-Communities und Bildungseinrichtungen anzugreifen. Die Malware stellt weiterhin ein erhebliches Risiko für die globale Cybersicherheit dar: Mehrere Cybersicherheitsunternehmen berichten von Angriffen auf Bereiche der kritischen Infrastruktur – unter anderem in der Fertigung, Telekommunikation, Logistik, im Finanzbereich und im Gesundheitswesen.
Beispiel einer Phishing-E-Mail, die vorgibt, Booking.com zu sein, mit gefälschtem CAPTCHA-Prüfhinweis
(Quelle: Microsoft – Phishing campaign impersonates Booking .com, delivers a suite of credential-stealing malware)
Der Hauptentwickler von Lumma sitzt in Russland und tritt unter dem Internet-Alias „Shamel“ auf. Über Telegram und andere russischsprachige Chat-Foren vermarktet Shamel verschiedene Service-Pakete für Lumma. Je nach gebuchtem Leistungsumfang können Cyberkriminelle eigene Varianten der Malware erstellen, zusätzliche Werkzeuge zur Tarnung und Verbreitung integrieren und gestohlene Daten über ein Online-Portal nachverfolgen.
Verschiedene Service-Stufen von Lumma sowie das Lumma-Logo, wie es in Werbematerialien verwendet wird.
(Quelle: Darktrace – The Rise of MaaS & Lumma Info Stealer)
In einem Interview im November 2023 mit „g0njxa“, einer Person aus der Cybersicherheitsforschung, erklärte Shamel, er habe „etwa 400 aktive Kund*innen“. Seine Aussagen zeigen, wie stark sich die Cyberkriminalität weiterentwickelt hat – hin zu etablierten Geschäftsstrukturen. Shamel baute eine regelrechte Marke rund um Lumma auf: mit dem markanten Logo eines Vogels, der laut ihm für „Frieden, Leichtigkeit und Gelassenheit“ steht, und dem Werbeslogan „Mit uns Geld zu verdienen ist genauso einfach.“
Dass Shamel offen agieren kann, verdeutlicht, wie dringend es ist, das Thema Schutzräume für Cyberkriminelle international anzugehen und die konsequente Durchsetzung von Sorgfaltspflichten nach internationalem Recht einzufordern.
Gemeinsam gegen weitverbreitete Cybercrime-Tools vorgehen
Die gezielte Zerschlagung der von Cyberkriminellen oft genutzten Werkzeuge kann einen spürbaren und nachhaltigen Effekt auf die Cyberkriminalität haben. Der Wiederaufbau schädlicher Infrastrukturen und die Beschaffung neuer Exploit-Tools erfordern Zeit und Geld. Wenn es gelingt, wie im Fall Lumma den zentralen Zugriff zu unterbinden, dann kann man mit nur einer Maßnahme zahlreiche kriminelle Aktivitäten erheblich stören.
Die enge Zusammenarbeit zwischen Wirtschaft und Behörden bleibt deshalb essenziell. Wir danken allen Partnern aus Industrie und öffentlichem Sektor, darunter die Cybersicherheitsunternehmen ESET, Bitsight, Lumen, Cloudflare, CleanDNS und GMO Registry. Sie haben alle entscheidend dazu beigetragen, Lummas Online-Infrastruktur rasch vom Netz zu nehmen.
Gleichzeitig wissen wir: Cyberkriminelle agieren hartnäckig und einfallsreich. Auch wir müssen uns stetig weiterentwickeln, um neue Wege zu finden, bösartige Aktivitäten zu unterbinden. Die Digital Crimes Unit von Microsoft wird ihre Arbeit konsequent fortsetzen – mit Innovation, Anpassungsfähigkeit und dem Ziel, kritische Infrastrukturen, unsere Kunden, sowie Internetnutzer*innen bestmöglich zu schützen.
Unternehmen und Einzelpersonen können sich vor Malware wie Lumma schützen, indem sie Multi-Faktor-Authentifizierung einsetzen, aktuelle Anti-Malware-Software verwenden und bei E-Mail-Anhängen und Links besondere Vorsicht walten lassen.
