Næsten 400.000 Windows PC’ere er inficeret
Herunder finder du en komplet juridisk omskrivning og oversættelse af artiklen på dansk – med korrekt formatering, juridisk terminologi og henvisninger til relevante myndigheder og kilder i overensstemmelse med dine instruktioner.
Microsoft i skandale: 394.000 computere kompromitteret af Lumma-malware
Microsofts sikkerhedssystemer har slået alvorligt fejl i en international sag, hvor knap 400.000 Windows-baserede computere er blevet inficeret med den berygtede Lumma-malware. Inficeringen har fundet sted globalt i løbet af blot to måneder, og sagen vækker stor bekymring blandt cybersikkerhedseksperter og myndigheder.
Malwaren har haft fri adgang til at stjæle både adgangskoder, bankoplysninger og digitale aktiver. Først nu er kommunikationslinjerne til malwaren blevet brudt i en koordineret indsats mellem Microsoft, amerikanske og europæiske myndigheder.
Lumma-malware: Et værktøj til organiseret IT-kriminalitet
Ifølge Microsofts eget blogindlæg anvendes Lumma-malwaren af hackere som et effektivt angrebsværktøj til en lang række kriminelle formål. Blandt de hyppigste mål er:
- Stjålne adgangskoder fra både browser og system
- Kreditkortoplysninger
- Bankkontooplysninger
- Kryptovaluta-tegnebøger
- I flere tilfælde er der stjålet fra Kryptominere (der kører Windows)
Malwaren opererer som en infostealer og har været sat til salg i kriminelle kredse som et ‘værktøjskit’ for uautoriseret adgang til private og erhvervsmæssige enheder.
“I samarbejde med retshåndhævende myndigheder og partnere i branchen har vi afbrudt kommunikationen mellem det skadelige værktøj og ofrene.”
Kilde: Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2025/05/20/disrupting-lumma-stealer
Omfanget: 394.000 computere ramt globalt
Ifølge Microsofts oplysninger er intet mindre end 394.000 Windows-computere blevet kompromitteret mellem 16. marts og 16. maj 2025. Inficeringen skete globalt og berørte både privatpersoner og virksomheder.
Indsatsen fra myndigheder og Microsofts digitale kriminalitetsenhed
Microsoft oplyser, at dets Digital Crimes Unit (DCU) i samarbejde med retshåndhævende myndigheder lykkedes med at lukke adskillige infrastrukturelementer, som understøttede Lumma-netværket:
- Adskillige domæner og servere, som blev brugt til kommunikation mellem malware og angriber
- Kommando- og kontrolstrukturer (C2-infrastruktur), som styrede datatyveriet
- Webmarkedspladser, hvor Lumma-malwaren blev solgt
Det amerikanske justitsministerium (U.S. Department of Justice) greb herefter ind og overtog kontrollen over Lummas centrale kommandostruktur, hvilket reelt afbrød netværkets mulighed for videre distribution og angreb.
“Derudover vil mere end 1.300 domæner, der er beslaglagt af eller overført til Microsoft, herunder 300 domæner, som retshåndhævende myndigheder har behandlet med støtte fra Europol, blive omdirigeret til Microsofts ‘sinkhole’.”
Tidligere angreb: Booking.com phishingkampagne
Lumma-malwaren er tidligere blevet anvendt i andre opsigtsvækkende angreb. I marts 2025 blev den brugt i en phishingkampagne, hvor brugere blev narret til at tro, at de besøgte den legitime rejsetjeneste Booking.com. Angriberne opsamlede adgangsoplysninger og betalingsdata via falske login-sider.
Denne metode er velkendt i cybersikkerhedsverdenen og falder under det strafferetlige begreb ‘identitetstyveri’ og ‘databedrageri’, som i Danmark er reguleret efter straffelovens § 279 og § 263.
“Den, der for at skaffe sig eller andre uberettiget vinding ved brug af urigtige eller vildledende oplysninger eller fortielse af sandheden skaffer sig eller andre en uberettiget vinding, straffes for bedrageri.”
Kilde: Retsinformation – Straffeloven § 279
“Den, der skaffer sig adgang til andres oplysninger, der er bestemt til at være hemmelige, straffes med bøde eller fængsel i indtil 6 måneder.”Kilde: Retsinformation – Straffeloven § 263
Overvågning og modforanstaltninger
Microsoft arbejder nu videre med at overvåge og sikre, at de beslaglagte domæner ikke igen bliver misbrugt. Der er implementeret ‘sinkholing’, hvor ofre, der forsøger at kontakte malware-infrastrukturen, automatisk bliver omdirigeret til sikre Microsoft-servere.
Den brede inddragelse af retshåndhævende myndigheder, herunder Europol og amerikanske FBI, vidner om sagens alvor og den stigende trussel fra organiseret cyberkriminalitet.
Oversigt: Nøglefakta
| Sagsfakta | Information |
|---|---|
| Malware | Lumma Stealer |
| Antal inficerede computere | 394.000 |
| Infektionsperiode | 16. marts – 16. maj 2025 |
| Formål med malware | Tyveri af loginoplysninger, kort, bankkonti og kryptovaluta |
| Reaktion fra Microsoft | Nedlukning af domæner, C2-struktur, samarbejde med myndigheder |
| Myndigheder involveret | U.S. Department of Justice, Europol, FBI |
| Tidligere brug | Phishingangreb via falsk Booking.com-website i marts 2025 |
Hvad med Danmark?
Der foreligger ingen offentligt tilgængelige oplysninger om specifikke danske virksomheder, der er blevet inficeret med Lumma-malwaren. Dog rapporterer cybersikkerhedsvirksomheden Check Point Software Technologies, at Lumma-malwaren i oktober 2024 udgjorde en betydelig trussel mod danske virksomheder. Ifølge deres Global Threat Index var Lumma ansvarlig for angreb mod 1,8 % af danske virksomheder, hvilket placerede den som den fjerde mest udbredte malwaretrussel i Danmark på det tidspunkt.
Lumma-malwaren er en informationsstjælende malware, der typisk spredes gennem phishing-e-mails med ondsindede vedhæftede filer eller links samt via trojaniserede legitime applikationer. Når en bruger interagerer med disse ondsindede elementer, installeres malwaren og begynder at indsamle følsomme data såsom adgangskoder, kreditkortoplysninger og kryptovaluta-tegnebøger.
Selvom specifikke danske virksomheder ikke er navngivet i de tilgængelige rapporter, indikerer den rapporterede udbredelse, at en bred vifte af sektorer kan være blevet påvirket. Det anbefales, at virksomheder i Danmark forbliver årvågne over for sådanne trusler og implementerer passende sikkerhedsforanstaltninger for at beskytte deres systemer og data.
Oprindelsen af Lumma-malwaren: Rødder i russiske cybermiljøer
Lumma-malwaren (også kendt som Lumma Stealer) vurderes at have oprindelse i russiske cyberkriminelle miljøer, og er blevet udbudt som en “malware-as-a-service”-løsning (MaaS), hvilket betyder, at den kan lejes af kriminelle via undergrundsfora og Dark Web. Udviklerne bag Lumma har aktivt promoveret malwaren på russisktalende hackingfora siden dens fremkomst i 2022.
Identificeret baggrund og infrastruktur
- Malwarekoden er skrevet på russisk og indeholder kommentarer og fejlmeddelelser, der tydeligt viser sproglig oprindelse.
- Domæner og infrastruktur, som har været brugt til at distribuere og styre malwaren, har været hostet i lande med begrænset udleveringsaftaler til Vesten, hvilket peger mod Rusland, Kasakhstan og Armenien.
- Cybersikkerhedsfirmaer som Kaspersky, Check Point Research og Group-IB har gentagne gange dokumenteret forbindelserne til russisktalende trusselsaktører.
“Lumma Stealer is developed by Russian-speaking actors and distributed via closed forums. It is advertised as a high-end infostealer with custom features.”
Forbindelser til tidligere trusselsaktører
Lumma har ifølge sikkerhedsanalysefirmaet Cyfirma tekniske ligheder med tidligere infostealere såsom RedLine og Raccoon Stealer, som også har russiske rødder. Disse værktøjer deler:
- Lignende indsamlingsteknikker (fx Chrome password dumps, autofill data)
- C2-kommunikation via Telegram eller Tor
- Brug af falske CAPTCHA’er og software cracks som spredningsmetode
Malware-as-a-Service og kommerciel distribution
Lumma udbydes på abonnement med månedlig licens:
- $250 for 1 måned
- $500 for 3 måneder
- $1.000 for livstidslicens
Sælgerne tilbyder support via Telegram og Discord og opdaterer jævnligt malwaren for at undgå antivirusdetektion.
“Lumma Stealer is offered as part of a subscription-based business model, where operators maintain the malware and provide customer support to buyers.”
En trussel med russisk signatur
Oprindelsen af Lumma-malwaren peger klart mod russisktalende, organiserede miljøer, der udvikler og distribuerer værktøjer til datatyveri og cyberangreb som en kommerciel service. Den moderne struktur omkring Lumma minder mere om en it-virksomhed end en klassisk hackergruppe – blot med kriminelle motiver.
Økonomiske og operationelle konsekvenser
De stjålne oplysninger har ført til:
- Tømning af bankkonti
- Tyveri af kryptovaluta
- Identitetstyveri
- Afpresning og trusler om offentliggørelse af følsomme dataMicrosoft
Disse aktiviteter har ikke kun økonomiske konsekvenser for de berørte, men kan også skade omdømmet og tilliden til de involverede organisationer.
Distribution og spredningsmetoder
Lumma-malwaren spredes gennem forskellige metoder, herunder:
- Phishing-e-mails med ondsindede vedhæftede filer eller links
- Falske CAPTCHA-sider, der narrer brugere til at køre skadelige scripts
- Malvertising (ondsindede reklamer)
- Falske softwareopdateringer eller piratkopieret softwarecyberwarehub.com+1Cyber Security News+1SecurityHQ
Disse metoder udnytter ofte brugernes tillid til kendte platforme og tjenester for at sprede malwaren effektivt.
Kilde: ICARE.DK
Fotokredit: Microsoft
Personer/Firmaer/Emner/#: #Lumma, #cybercrime, #malware, #phishing, #cybersikkerhed, #CheckPoint, #Rusland, #Kaspersky, #GroupIB, #Cyfirma, #malwareasaservice
Copyrights: Ⓒ 2025 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.
