Wiesbaden (ots) - Rund 15.000 Webseiten, über 320 Server und mehr als 140 Domains unschädlich gemacht +++ Ca. 27 Millionen Opferdaten sichergestellt +++ Erfolgreiche Zusammenarbeit mit Kooperationspartnern aus der Privatindustrie
Die Generalstaatsanwaltschaft Frankfurt am Main - Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) - und das Bundeskriminalamt (BKA) sind in einer international abgestimmten Aktion im Zeitraum vom 15.06. bis 19.06.2026 gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Dänemark, Großbritannien, USA und Kanada sowie mit Unterstützung durch Europol, Eurojust, das US-Softwareunternehmen Microsoft und weitere internationale IT-Sicherheitsdienstleister erfolgreich gegen drei der weltweit gefährlichsten Schadsoftware-Varianten ("SocGholish", "StealC" und "Amadey") vorgegangen.
Der Fokus der Maßnahmen lag auf der nachhaltigen Zerschlagung der jeweiligen technischen Infrastrukturen. So haben die internationalen Strafverfolgungsbehörden in enger Kooperation mit Microsoft insgesamt rund
15.000 Webseiten, über 320 Server, davon 40 in Deutschland, und mehr als 140 Domains, die täterseitig genutzt wurden, unschädlich gemacht. In diesem Zusammenhang wurden auch ca. 27 Millionen Zugangsdaten von über 385.000 Opfern sichergestellt, zu denen die Prüfung der individuellen Betroffenheit über öffentlich zugängliche Informationsplattformen möglich ist. Zusätzlich unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Benachrichtigung von Betroffenen in Deutschland. Darüber hinaus wurde Kryptovermögen kriminellen Ursprungs von derzeit über 47 Millionen US-Dollar identifiziert, gekennzeichnet und dadurch in der Nutzung eingeschränkt.
In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der
banden- und gewerbsmäßigen Erpressung sowie der Erpressung im besonders schweren Fall geführt. Die Maßnahmen nehmen den Tätern zentrale Werkzeuge aus der Hand, unterbrechen die virtuelle Infektionskette und schützen viele weitere potentielle Opfer vor diesen Schadsoftware-Varianten. Mit der Operation wurde ein wesentlicher Baustein des kriminellen Wertschöpfungsprozesses der vernetzten und arbeitsteiligen Strukturen im Bereich Cybercrime geschwächt.
Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA: "Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben.
Dadurch wurde auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme unterbunden. Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor."
Dr. Benjamin Krause, Leitender Oberstaatsanwalt und Pressesprecher der ZIT: "Die Operation Endgame ist das Paradebeispiel der internationalen Kooperation von Strafverfolgungsbehörden und privaten Organisationen im gemeinsamen Kampf gegen Cybercrime. Wie die Kriminellen arbeiten auch wir arbeitsteilig und international vernetzt, um schlagkräftig zu sein. Der Unterschied ist: Wir stehen auf der guten Seite."
Geschäftsmodell "Cybercrime-as-a-Service"
Die beseitigten Schadsoftware-Varianten wurden als Dienstleistung
("Cybercrime-as-a-Service") bereitgestellt und von anderen Cyberkriminellen als Werkzeug für die Erstinfektion von Opfersystemen eingesetzt. Damit waren sie in der Folge Ausgangspunkt für weitere Straftaten (z. B. das Nachladen von Ransomware für digitale Erpressungen oder die missbräuchliche Nutzung von Daten).
- Die Schadsoftware SocGholish (sog. Dropper/Loader) verschaffte
Unbefugten durch die Verteilung von vermeintlichen
Browser-Updates über kompromittierte Webseiten Zugang zu
Computersystemen. Statt des Updates führten Internetnutzer die
Schadsoftware aus. Die unbefugt erlangten Zugänge dienten fortan
als Ausgangspunkt für weitere Straftaten, insbesondere das
Nachladen von Ransomware für digitale Erpressungen.
- Die über unterschiedliche Angriffsvektoren verteilte
Schadsoftware StealC (sog. Stealer mit Dropper-Funktionalität)
war vor allem darauf spezialisiert, sensible Informationen wie
Passwörter, gespeicherte Zugangsdaten und digitale Identitäten
aus Computern von Betroffenen auszulesen und für kriminelle
Folgenutzungen, insbesondere Handel und Missbrauch der
Datenbestände, bereitzustellen.
- Die Schadsoftware Amadey (sog. Dropper/Loader) wurde vor allem
über Phishing-Kampagnen verbreitet. Sie fungierte damit als
erster Baustein einer größeren Angriffskette und war in der
Lage, weitere Schadsoftware auf Betroffenensysteme einzubringen.
Daneben verfügte die Schadsoftware über Stealer-Funktionalitäten
und konnte so auch sensible Daten abgreifen.
Strategie der Operation Endgame
Ziel der Operation Endgame ist es, die relevantesten Schadsoftware-Varianten der Kategorie "Initial Access Malware" (sog. Dropper/Loader) unschädlich zu machen.
Schadsoftware dieser Kategorie wird zur Erstinfektion genutzt. Sie dient Cyberkriminellen als Türöffner, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Dies geschieht beispielsweise zum Ausspähen von Daten oder zur Verschlüsselung des Systems mit dem Ziel der Erpressung von Lösegeld (sog. Ransomware).
Mittlerweile verfügen immer häufiger auch Varianten der Kategorie "Stealer" über Funktionen zum Nachladen von Schadsoftware. Deren Primäraufgabe war es bislang eigentlich, unbemerkt Opfersysteme zu infizieren, um sensible Daten und Zugangsinformationen zu stehlen. Sie können dadurch ebenfalls zur Installation von Ransomware verwendet werden. Daher geht die Operation Endgame seit 2025 neben Droppern und Loadern auch gezielt gegen Stealer-Schadsoftware vor.
Die Sicherheitsbehörden verfolgen die Strategie, unmittelbar am Anfang der Angriffskette, der sogenannten "Kill Chain", anzusetzen und das gesamte "Cybercrime-as-a-Service"-Ökosystem an der Wurzel zu schädigen. Durch gebündelte Maßnahmen gegen die technische und finanzielle Infrastruktur der Täter und gegen die Täter selbst soll dieses Geschäftsmodell nachhaltig zerstört werden.
Über die Webseite der internationalen polizeilichen Partner stehen fortlaufend Informationen zur Verfügung: www.operation-endgame.com. Hier werden entsprechende kriminelle Akteure in Form von Kurzvideos mit der Botschaft "Operation Endgame - think about (y)our next move" direkt adressiert und darüber hinaus potenzielle Zeugen um Hinweise gebeten.
Informationen für Opfer:
Seit Mai 2024 unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Partner der Operation Endgame, indem es unter anderem die Infrastruktur zur Umleitung des Datenverkehrs auf behördeneigene Server bereitstellt und die Umleitungen koordiniert und umsetzt (sogenanntes Sinkholing). Darüber hinaus wertet das BSI technische Asservate aus und sammelt zielgerichtet Informationen bezüglich relevanter Schadsoftware-Varianten.
Für Deutschland hat das BSI nachhaltige Maßnahmen ergriffen, um den Zugriff infizierter Systeme auf die Steuerungssysteme der Täter auch über deren Abschaltung hinaus effektiv zu unterbinden. Dabei werden die Kontaktversuche der Schadsoftware von infizierten Opfersystemen detektiert und die Betroffenen über eine festgestellte Infektion an ihrem Internetanschluss benachrichtigt. Weitere Informationen zum Thema Botnetze sowie Steckbriefe zu den Schadsoftware-Varianten mit Hinweisen zur Bereinigung infizierter Systeme sind auf der BSI-Webseite abrufbar: https://www.bsi.bund.de/dok/botnetz-provider-info
Darüber hinaus benachrichtigt das BSI betroffene Institutionen und Unternehmen direkt über abgeflossene Zugangsdaten der Schadsoftware StealC, die im Rahmen der Strafverfolgungsmaßnahmen erlangt wurden. Zur Art der betroffenen Daten stellt das BSI unter https://www.bsi.bund.de/dok/StealC weitere Informationen bereit.
Rückfragen bitte an:
Bundeskriminalamt