Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) sind in einer international abgestimmten Aktion im Zeitraum vom 15.06. bis 19.06.2026 gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Dänemark,
Großbritannien, USA und Kanada sowie mit der Unterstützung durch Europol, Eurojust, sowie das US-Softwareunternehmen Microsoft und weitere internationale IT-Sicherheitsdienstleister erfolgreich gegen drei der weltweit gefährlichsten Schadsoftware-Varianten („SocGholish“, „StealC“ und „Amadey“) vorgegangen.

Der Fokus der Maßnahmen lag auf der nachhaltigen Zerschlagung der jeweiligen technischen Infrastrukturen. So haben die internationalen Strafverfolgungsbehörden in enger Kooperation mit Microsoft insgesamt rund 15.000 Webseiten, über 320 Server, davon 40 in Deutschland, und mehr als 140
Domains, die täterseitig genutzt wurden, unschädlich gemacht. In diesem Zusammenhang wurden auch ca. 27 Millionen Zugangsdaten von über 385.000 Opfern sichergestellt, zu denen die Prüfung der individuellen Betroffenheit über öffentlich zugängliche Informationsplattformen möglich ist. Zusätzlich
unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Benachrichtigung von Betroffenen in Deutschland. Darüber hinaus wurde Kryptovermögen kriminellen Ursprungs von derzeit über 47 Millionen US-Dollar identifiziert, gekennzeichnet und dadurch in der Nutzung eingeschränkt.

Zehn internationale Haftbefehle und vier vorläufige Festnahmen

In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Erpressung im besonders schweren Fall geführt. Die Maßnahmen nehmen den Tätern zentrale Werkzeuge aus der Hand, unterbrechen die virtuelle Infektionskette und schützen viele weitere potentielle Opfer vor diesen Schadsoftware-Varianten. Mit der Operation wurde
ein wesentlicher Baustein des kriminellen Wertschöpfungsprozesses der vernetzten und arbeitsteiligen Strukturen im Bereich Cybercrime geschwächt.

Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA sagte dazu: „Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben. Dadurch wurde auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme unterbunden. Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor.“

Dr. Benjamin Krause, Leitender Oberstaatsanwalt und Pressesprecher der ZIT: „Die Operation Endgame ist das Paradebeispiel der internationalen Kooperation von Strafverfolgungsbehörden und privaten Organisationen im gemeinsamen Kampf gegen Cybercrime. Wie die Kriminellen arbeiten auch wir arbeitsteilig und international vernetzt, um schlagkräftig zu sein. Der Unterschied ist: Wir stehen auf der guten Seite.“

Geschäftsmodell „Cybercrime-as-a-Service“

Die beseitigten Schadsoftware-Varianten wurden als Dienstleistung („Cybercrime-as-a-Service“) bereitgestellt und von anderen Cyberkriminellen als Werkzeug für die Erstinfektion von Opfersystemen eingesetzt. Damit waren sie in der Folge Ausgangspunkt für weitere Straftaten (z. B. das Nachladen von Ransomware für digitale Erpressungen oder die missbräuchliche Nutzung von Daten).

– Die Schadsoftware SocGholish (sog. Dropper/Loader) verschaffte
Unbefugten durch die Verteilung von vermeintlichen
Browser-Updates über kompromittierte Webseiten Zugang zu
Computersystemen. Statt des Updates führten Internetnutzer die
Schadsoftware aus. Die unbefugt erlangten Zugänge dienten fortan
als Ausgangspunkt für weitere Straftaten, insbesondere das
Nachladen von Ransomware für digitale Erpressungen.

– Die über unterschiedliche Angriffsvektoren verteilte
Schadsoftware StealC (sog. Stealer mit Dropper-Funktionalität)
war vor allem darauf spezialisiert, sensible Informationen wie
Passwörter, gespeicherte Zugangsdaten und digitale Identitäten
aus Computern von Betroffenen auszulesen und für kriminelle
Folgenutzungen, insbesondere Handel und Missbrauch der
Datenbestände, bereitzustellen.

– Die Schadsoftware Amadey (sog. Dropper/Loader) wurde vor allem über Phishing-Kampagnen verbreitet. Sie fungierte damit als erster Baustein einer größeren Angriffskette und war in der Lage, weitere Schadsoftware auf Betroffenensysteme einzubringen. Daneben verfügte die Schadsoftware über Stealer-Funktionalitäten und konnte so auch sensible Daten abgreifen.

Strategie der Operation Endgame

Ziel der Operation Endgame ist es, die relevantesten Schadsoftware-Varianten der Kategorie „Initial Access Malware“ (sog. Dropper/Loader) unschädlich zu machen. Schadsoftware dieser Kategorie wird zur Erstinfektion genutzt. Sie dient Cyberkriminellen als Türöffner, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Dies geschieht beispielsweise zum Ausspähen von Daten oder zur Verschlüsselung des Systems mit dem Ziel der Erpressung von Lösegeld (sog. Ransomware).

Mittlerweile verfügen immer häufiger auch Varianten der Kategorie „Stealer“ über Funktionen zum Nachladen von Schadsoftware. Deren Primäraufgabe war es bislang eigentlich, unbemerkt Opfersysteme zu infizieren, um sensible Daten und Zugangsinformationen zu stehlen. Sie können dadurch ebenfalls zur Installation von Ransomware verwendet werden. Daher geht die Operation Endgame seit 2025 neben Droppern und Loadern auch gezielt gegen Stealer-Schadsoftware vor.

Die Sicherheitsbehörden verfolgen die Strategie, unmittelbar am Anfang der Angriffskette, der sogenannten „Kill Chain“, anzusetzen und das gesamte „Cybercrime-as-a-Service“-Ökosystem an der Wurzel zu schädigen. Durch gebündelte Maßnahmen gegen die technische und finanzielle Infrastruktur der Täter und gegen die Täter selbst soll dieses Geschäftsmodell nachhaltig zerstört werden.

Über die Webseite der internationalen polizeilichen Partner stehen fortlaufend Informationen zur Verfügung: www.operation-endgame.com.

Public Media — Offene Systeme, Offene Konnektivität, Inklusive Öffentlichkeit für Smart Cities.*

*) Nachhaltig, supereffizient, weltoffen & für rechtskonforme Governance.