Cyberkriminalität
Cloudflare unterstützt internationale Operation gegen Lumma Stealer
Über 2.000 bösartige Domains vom Netz genommen
Im Mai 2025 gelang internationalen Ermittlern ein bedeutender Erfolg im Kampf gegen Cyberkriminalität: Die Infrastruktur hinter der Schadsoftware Lumma Stealer – auch bekannt als LummaC2 – wurde massiv gestört. Über 2.000 bösartige Domains wurden vom Netz genommen. Besonders hervorzuheben ist dabei die Rolle von Cloudflare, dem führenden Anbieter im Bereich Connectivity Cloud. Als technischer Partner leistete Cloudflare einen entscheidenden Beitrag zur Aufdeckung und Unterbindung des Netzwerks.
Cloudflare blockierte zentrale C2-Domains und unterband die Malware-Kommunikation
Was ist der Lumma Stealer – und warum ist er so gefährlich?
Lumma Stealer ist ein sogenannter Infostealer – eine Schadsoftware, die darauf spezialisiert ist, persönliche und sensible Daten wie Passwörter, Browser-Cookies oder Kryptowährungs-Wallets zu stehlen. Die Malware wurde oft über täuschend echt aussehende Websites verbreitet – zum Beispiel über gefälschte CAPTCHA-Seiten, die Nutzer zur Eingabe ihrer Daten verleiteten.
Einmal infiziert, kommunizierten betroffene Systeme mit sogenannten Command-and-Control-Servern (C2), über die die gestohlenen Informationen an Cyberkriminelle weitergeleitet wurden – häufig mit dem Ziel, diese auf illegalen Online-Marktplätzen zu verkaufen.
Wie Cloudflare zur Aufdeckung beitrug
Cloudflare registrierte früh ein ungewöhnliches Verhalten in seinem Netzwerk: Innerhalb kürzester Zeit wurden über 100 scheinbar harmlose Domains angelegt – alle verbunden mit einer schadhaften Infrastruktur. Diese Domains dienten nicht nur der Verbreitung der Malware, sondern auch der Kommunikation mit infizierten Systemen und der Monetarisierung der Angriffe.
Dank seiner globalen Sicherheitsinfrastruktur konnte Cloudflare diese Domains identifizieren und blockieren – und so verhindern, dass sich die Schadsoftware weiter ausbreitet.
Technologie im Einsatz: Schutz durch Turnstile und mehr
Ein zentraler Teil der Verteidigungsstrategie war der Einsatz von Turnstile, Cloudflares benutzerfreundlicher CAPTCHA-Alternative. Nutzer, die versuchten, schadhafte Seiten zu besuchen, wurden automatisch auf eine Interstitial-Seite umgeleitet. Diese forderte eine manuelle Interaktion – und verhinderte so, dass sich die Malware im Hintergrund unbemerkt installierte.
Darüber hinaus arbeitete Cloudflare eng mit Antiviren-Anbietern und Threat-Intelligence-Partnern zusammen, um Informationen über die Lumma-Infrastruktur zu teilen und die Schutzmechanismen im gesamten Sicherheits-Ökosystem zu stärken.
Ein globaler Kraftakt
Hinter der Aktion stand eine breite Allianz: Initiiert wurde sie von Microsofts Digital Crimes Unit (DCU), koordiniert in Zusammenarbeit mit Cloudflare, dem US-Justizministerium, Europol, dem japanischen Cybercrime Control Center und weiteren Industriepartnern.
Das Ergebnis: Über 2.300 verdächtige Domains konnten identifiziert, beschlagnahmt oder deaktiviert werden. Durch die internationale Kooperation wurde ein global agierendes Cybercrime-Netzwerk empfindlich gestört. Die Angreifer verloren zentrale Strukturen zur Steuerung ihrer Aktivitäten – und eine wichtige Einnahmequelle.
Ein starkes Signal an Cyberkriminelle – und ein Aufruf zur Zusammenarbeit
Diese koordinierte Aktion ist ein starkes Beispiel dafür, was möglich ist, wenn Technologieunternehmen, Strafverfolgungsbehörden und Sicherheitsforscher Hand in Hand arbeiten. Cloudflare zeigt damit einmal mehr, wie wichtig es ist, frühzeitig zu erkennen, schnell zu handeln und gemeinsam gegen digitale Bedrohungen vorzugehen.
Die Botschaft ist klar: Wer das Internet missbraucht, wird auf Widerstand treffen – und dieser ist besser organisiert als je zuvor.
Cloudflare ruft dazu auf, diese Zusammenarbeit weiter auszubauen. Denn nur gemeinsam lässt sich ein sicheres Internet schaffen – für Unternehmen, Behörden und vor allem: für die Menschen, die es täglich nutzen.
