Operation Endgame 2.0: Der größte Schlag gegen die globale Cybercrime-Szene

Die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt (BKA) haben im Rahmen der internationalen Operation „Endgame 2.0“ gemeinsam mit Ermittlern aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Kanada und den USA erneut ein deutliches Zeichen im Kampf gegen die organisierte Internetkriminalität gesetzt.

Vom 19. bis 22. Mai 2025 gelang es den Strafverfolgungsbehörden, die technische Infrastruktur führender Cybercrime-Gruppierungen massiv zu schwächen. Rund 300 Server weltweit – davon etwa 50 in Deutschland – wurden abgeschaltet, etwa 650 Domains unschädlich gemacht und Kryptowährungen im Wert von rund 3,5 Millionen Euro sichergestellt.

Ermittelt wird gegen insgesamt 37 Personen. Gegen 20 von ihnen – mehrheitlich russische Staatsangehörige – wurden internationale Haftbefehle erwirkt. Parallel dazu erhoben US-Behörden in 17 Fällen sogenannte „Indictments“ nach amerikanischem Recht. Europol und Interpol unterstützen die weltweite Fahndung.

Cybercrime an der Wurzel packen

Hinter der Operation steht eine klare Strategie: Die Behörden wollen nicht nur Symptome bekämpfen, sondern das Geschäftsmodell der Tätergruppen gezielt zerstören. Im Fokus steht dabei sogenannte „Initial Access Malware“ – Schadsoftware, die als Türöffner für weiterführende Angriffe wie Datendiebstahl oder Erpressung dient.

Diese Dropper und Loader – etwa Bumblebee, Danabot, Hijackloader, Latrodectus, Qakbot, Trickbot und Warm-cookie – wurden von teils eng kooperierenden Tätergruppen in Botnetzen betrieben. Über diese Netze konnten Cyberkriminelle unbemerkt in Systeme eindringen, sensible Daten ausspähen oder Unternehmen mit Ransomware angreifen.

Durch das koordinierte Vorgehen gegen technische Infrastruktur, Finanzströme und verantwortliche Akteure wird das „Cybercrime-as-a-Service“-Modell direkt an seiner Wurzel angegriffen. „Nur durch das Zusammenspiel technischer Abschaltungen, der Sicherstellung krimineller Vermögenswerte und weltweiter Strafverfolgung kann diesem globalen Phänomen wirksam begegnet werden“, so ZIT-Leiter Dr. Benjamin Krause.

Rückblick: Vom Botnetz bis zur Krypto-Börse

Die aktuelle Operation ist der vorläufige Höhepunkt einer mehrjährigen Strategie. Bereits im Mai 2024 nahmen Ermittler sechs der weltweit gefährlichsten Malware-Familien ins Visier – darunter IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Damals wurden die Botnetze von über 15 bekannten Ransomware-Gruppierungen erfolgreich zerschlagen.

Im September 2024 folgten Maßnahmen gegen illegale Kryptowährungsbörsen wie Cryptex und PM2BTC. Diese Plattformen wurden von Tätern genutzt, um erbeutete Kryptowährungen in reales Geld umzuwandeln.

Im April 2025 richtete sich eine gezielte Aktion gegen die Kunden eines bekannten Smokeloader-Verkäufers mit dem Pseudonym „superstar75737“. Dabei kam es zu mehreren Festnahmen und Durchsuchungen.

Mit „Endgame 2.0“ nimmt die Polizei nun auch die Nachfolger dieser Gruppen ins Visier. Zusätzlich unterstützten die beteiligten Behörden die Takedown-Maßnahmen von Microsoft gegen die Schadsoftware „Lumma“.

Klares Signal an die Szene – und an die Öffentlichkeit

BKA-Präsident Holger Münch unterstreicht die Bedeutung dieser Erfolge: „Deutschland ist besonders stark im Visier internationaler Cyberkrimineller. Operation Endgame 2.0 zeigt: Auch im Darknet gibt es keine Anonymität ohne Konsequenzen. Wir stärken aktiv die Cybersicherheit in Deutschland – und wir werden dieses Engagement weiter ausbauen.“

Im Rahmen der internationalen Ermittlungen zu Operation Endgame haben Strafverfolgungsbehörden nicht nur die Infrastruktur krimineller Gruppen zerschlagen, sondern auch erhebliche Vermögenswerte sichergestellt. Diese sollen nun – erstmals in größerem Umfang – an Betroffene zurückfließen.

Aktuell prüfen die zuständigen US-Behörden, welche Unternehmen weltweit durch die Schadsoftware Qakbot geschädigt wurden. Im Fokus stehen Ransomware-Angriffe, bei denen Qakbot als Einstiegsdrohner genutzt wurde. Nach bisherigen Erkenntnissen stehen rund 21 Millionen Euro zur Rückerstattung bereit.

Sobald den deutschen Behörden eine Liste bestätigter Opfer vorliegt, wollen das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main (ZIT) gezielt auf betroffene Unternehmen in Deutschland zugehen – und gemeinsam mit den US-Partnern die Auszahlung vorbereiten.

Der Einsatz ist auch ein Weckruf an Unternehmen und Institutionen, ihre IT-Sicherheitsstrategien weiterzuentwickeln. Denn die Bedrohung durch professionell organisierte Cyberkriminalität bleibt akut – und erfordert entschlossenes, international abgestimmtes Handeln.

Öffentlichkeitsfahndung zu Operation Endgame

ZIT und BKA suchen aktuell öffentlich nach 18 Verdächtigen – mutmaßliche Mitglieder der Gruppen „Trickbot“ und „Qakbot“. Lichtbilder und Beschreibungen der Personen sind auf der BKA-Webseite zur Fahndung im Rahmen von Operation Endgame einsehbar. Dort finden sich auch noch laufende Fahndungen aus Mai 2024, etwa gegen Mitglieder der Gruppen „Trickbot“ und „Smokeloader“.

Die Ermittler gehen in der aktuellen Phase neue Wege: Über die internationale Kampagnenseite www.operation-endgame.com werden mutmaßliche Täter direkt angesprochen – mit Videobotschaften unter dem Motto „Operation Endgame – think about (y)our next move“. Gleichzeitig ruft die Seite potenzielle Zeugen zur Mithilfe auf.

Hilfe und Infos für mögliche Opfer

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt die Ermittlungen technisch, unter anderem durch sogenanntes Sinkholing. Dabei wird der Datenverkehr infizierter Systeme umgeleitet, um die Täter-Infrastruktur dauerhaft zu blockieren. Betroffene erhalten Hinweise, wenn bei ihnen eine Infektion festgestellt wurde.

Weitere Informationen zu Botnetzen, Schadsoftware und Bereinigungshilfen bietet das BSI hier.