Microsoft ha informado este miércoles, 22 de mayo, de que 394.000 ordenadores con sistema operativo Windows en todo el mundo han sido infectados con el virus Lumma. Las autoridades internacionales están llevando a cabo esfuerzos coordinados para desmantelar la red de ciberdelincuencia que lo opera. Según indica Microsoft, todos los equipos afectados han sufrido una infección completa.
Los ordenadores fueron comprometidos entre el 16 de marzo y el 16 de mayo por Lumma Stealer, una de las herramientas preferidas por los piratas informáticos para robar datos como contraseñas, cuentas bancarias o carteras de criptomonedas, que luego utilizan para exigir rescates o atacar servicios esenciales, según detalla la compañía en su blog.
El gigante tecnológico explicó que el 13 de mayo, su unidad contra el crimen digital interpuso una acción legal en un tribunal del estado de Georgia (EE. UU.), que le permitió «incautarse y facilitar la caída, suspensión y bloqueo de unos 2.300 dominios» que formaban parte de «la infraestructura de Lumma».
En paralelo, el Departamento de Justicia de EE. UU. «se incautó de la estructura de comando central de Lumma e interrumpió los mercados donde se vendía la herramienta a otros ciberdelincuentes», mientras que autoridades europeas y japonesas colaboraron para suspender las infraestructuras locales asociadas al malware.
La propagación, especialmente en Europa
La propagación del virus se concentró principalmente en Europa, según un mapa compartido por Microsoft en su blog, en el que aparecen marcados en rojo Alemania, Polonia, Países Bajos, así como partes de España y Portugal. También se detectaron infecciones en el este de Estados Unidos, Brasil y México. El virus ha infectado cerca de 400.000 equipos, recalca Microsoft.
«Trabajando con las autoridades y socios del sector, hemos cortado las comunicaciones entre la herramienta maliciosa y las víctimas», señaló la compañía, dando a entender que los dispositivos comprometidos ya no están en riesgo activo.
Microsoft también compartió un ejemplo concreto de propagación: en marzo, el malware se difundió mediante una campaña de suplantación de identidad (phishing) que simulaba proceder de la agencia de reservas de viajes Booking.com, a través de la cual los atacantes cometieron «fraude y robo» de datos utilizando Lumma.