Im Mai 2025 konnte eine koordinierte, internationale Aktion einen signifikanten Schlag gegen die Cyberkriminalität erzielen: Die Infrastruktur hinter dem Informationsdiebstahl-Toolkit „Lumma Stealer“ (auch bekannt als LummaC2) wurde erheblich gestört. Besonders hervorzuheben ist dabei die Rolle von Cloudflare, des führenden Anbieters im Bereich Connectivity Cloud. Das Unternehmen leistete als technischer Schlüsselpartner einen zentralen Beitrag zur Identifizierung und Unterbindung der missbräuchlich genutzten Infrastruktur. Die Initiative zeigt eindrucksvoll, wie durch die Zusammenarbeit zwischen Technologieunternehmen und Behörden gezielte Erfolge im Kampf gegen moderne Bedrohungen erzielt werden können.
Hochentwickelte Malware im Visier internationaler Ermittlungen
Lumma Stealer ist ein sogenannter Infostealer – ein Tool, das dafür entwickelt wurde, sensible Informationen wie Passwörter, Cookies, Browserdaten oder Krypto-Wallets von infizierten Systemen abzugreifen. Die Malware wurde häufig über gefälschte Websites verbreitet, die Nutzer zur Eingabe von Daten verleiteten, beispielsweise durch nachgeahmte CAPTCHA-Seiten. Über sogenannte Command-and-Control-Server (C2) wurden die gestohlenen Informationen anschließend an die Betreiber weitergeleitet und oftmals in Online-Marktplätzen weiterverkauft.
Cloudflare hatte bereits frühzeitig ein ungewöhnliches Muster in seinen Bedrohungsdaten erkannt: Über 100 scheinbar legitime Domains wurden über einen kurzen Zeitraum hinweg registriert und mit einer schadhaften Infrastruktur verknüpft – ein klares Anzeichen für ein koordiniertes Vorgehen. Die Domains dienten dabei nicht nur zur Malware-Verteilung, sondern auch zur Monetarisierung und Kommunikation mit infizierten Systemen.
Cloudflare blockiert C2-Infrastruktur und schützt Nutzer mit Turnstile
Ein zentrales Element der Bekämpfungsstrategie war die gezielte Sperrung von Domains, die für die Verbreitung und Steuerung von Lumma Stealer genutzt wurden. Cloudflare blockierte nicht nur zahlreiche dieser Domains über sein Sicherheitsnetzwerk, sondern stellte auch sicher, dass Nutzer bei Zugriffen auf potenziell schädliche Seiten auf eine Turnstile-geschützte Interstitial-Seite weitergeleitet wurden. Diese Seiten forderten zur Interaktion auf und verhinderten damit die automatische Ausführung von Skripten – ein entscheidender Schutzmechanismus gegen unbewusste Infektionen.
Zudem arbeitete Cloudflare mit führenden Anbietern von Antivirenlösungen und anderen Threat-Intelligence-Partnern zusammen, um die Erkenntnisse über die Infrastruktur von Lumma Stealer zu teilen und den Schutz in der gesamten Sicherheitslandschaft zu verbessern.
Internationale Zusammenarbeit als Erfolgsfaktor
Die Operation wurde von Microsofts Digital Crimes Unit (DCU) initiiert und koordiniert – gemeinsam mit Cloudflare sowie Behörden wie dem U.S. Department of Justice, Europol, dem japanischen Cybercrime Control Center und weiteren Partnern aus der Industrie. Insgesamt konnten im Zuge der Ermittlungen über 2.300 mit Lumma verbundene Domains identifiziert, beschlagnahmt oder deaktiviert werden.
Durch die länderübergreifende Kooperation und die Kombination technischer Expertise mit rechtlicher Durchsetzungskraft gelang es, ein global verteiltes, hochagiles Cybercrime-Netzwerk nachhaltig zu stören. Für die Bedrohungsakteure bedeutet das: zentrale Kanäle für Verbreitung, Kommunikation und Umsatz wurden gleichzeitig unterbrochen.
Fazit
Die Zerschlagung von Teilen der Lumma Stealer-Infrastruktur markiert einen wichtigen Erfolg im Kampf gegen informationsbasierte Cyberkriminalität. Cloudflare hat als Anbieter einer globalen Connectivity Cloud erneut unter Beweis gestellt, dass die Kombination aus technischer Detektion, schneller Reaktion und aktiver Zusammenarbeit mit Partnern eine wirksame Verteidigung gegen fortschrittliche Bedrohungen darstellt. Die Operation sendet zudem eine klare Botschaft an Cyberkriminelle: Missbrauch wird nicht nur erkannt, sondern auch konsequent verfolgt – mit gebündelten Kräften und globalem Maßstab. Cloudflare ruft dazu auf, Kooperationen wie diese weiter auszubauen und die Abwehrmechanismen gemeinschaftlich zu stärken. Denn nur durch vereinte Anstrengungen lässt sich ein sicheres Internet für alle gewährleisten.
