“ Bien que la neutralisation de l’infrastructure constitue un résultat positif, Lumma Stealer pourrait potentiellement réapparaître en utilisant une architecture différente. Les recherches de Microsoft confirment nos conclusions selon lesquelles les acteurs malveillants pourraient avoir des liens avec la Russie, un pays sans traité d’extradition. Cela compliquera l’arrestation du criminel à la tête de l’opération Lumma Stealer.
Nos recherches ont révélé l’utilisation de plateformes cloud de confiance pour diffuser Lumma Stealer. Bien que les attaques dites «  living-off-the-cloud  » ne soient pas une technique nouvelle, nous nous attendons à en voir davantage. Cela représentera un défi pour les organisations, car les attaques LOTC sont difficiles à détecter, puisqu’elles exploitent des services cloud légitimes.
Notre recommandation pour détecter les attaques LOTC est de suivre la boucle OODA  : observer, orienter, décider et agir.
Observer : surveiller l’ensemble du trafic réseau.
Orienter : contextualiser les informations à l’aide d’une plateforme de sécurité afin d’avoir une vision globale, et non en s’appuyant sur des solutions ponctuelles qui ne prennent en compte que des événements isolés ou disparates.
Décider : mettre en place une politique centrale unique pour gérer les événements malveillants et suspects.
Agir : appliquer cette politique partout, sur tous les appareils, utilisateurs et connexions, au sein d’une architecture Zero Trust. ”