Cyber-Offensive sprengt Erpressungsnetzwerke: Operation Endgame zerschlägt globale Malware-Infrastruktur
International koordinierte Ermittlerteams legen entscheidende Teile der globalen Malware-Infrastruktur lahm – ein Schlag gegen die Schattenökonomie der digitalen Erpressung.
Die internationale Operation Endgame hat einen weiteren Meilenstein erreicht: Ermittler haben einen der gefährlichsten Stealer weltweit sowie eine der meistverbreiteten Varianten von Remote-Access-Trojanern ausgeschaltet. Durch konzertierte Maßnahmen wurden mehr als eintausend Server vom Netz genommen, Millionen entwendeter Datensätze gesichert und digitale Vermögenswerte in dreistelliger Millionenhöhe eingefroren.
BKA: Operation Endgame nimmt wieder hochgefährliche Malware vom Netz
Im Zentrum der aktuellen Maßnahmen stand die Abschaltung der Infrastruktur von Rhadamanthys, einem Info-Stealer, der durch hohe technische Raffinesse, extreme Anpassungsfähigkeit und ein weitreichendes Vertriebsnetz als eine der gefährlichsten Malware-Varianten der Gegenwart gilt. Mehr als 180 Server befanden sich allein in Deutschland. Ermittler stellten kompromittierte Informationen von über 650.000 Opfern sicher.
Parallel wurde VenomRAT ausgeschaltet, ein besonders aggressiver Trojaner für Windows-Systeme. Beide Malware-Typen verbreiten sich bevorzugt über Phishing-Nachrichten, manipulierte Webseiten oder infizierte Anhänge und dienen inzwischen immer häufiger als direkte Werkzeuge zur Ausbringung von Ransomware.
Schlag gegen die Finanzstrukturen der Täter
Ein zentraler Bestandteil der Operation war die Unterbindung der finanziellen Infrastruktur der Täter. Kryptowertkonten im Umfang von über 200 Millionen US-Dollar wurden eingefroren. Damit wird ein Kernproblem adressiert: die rasche Umwandlung krimineller Einnahmen in scheinbar legale Finanzströme. Die Maßnahme stärkt die aktive Cyberabwehr und steigert den Druck auf die Kriminellen erheblich.
Zeitgleich durchsuchten Behörden elf Objekte und nahmen einen Tatverdächtigen in Griechenland fest. Die Ermittlungen in Deutschland richten sich unter anderem auf zwei Momente: Verdacht der besonders schweren Erpressung, sowie Mitgliedschaft in einer kriminellen Vereinigung im Ausland.
Strategie der Operation Endgame: Die Kill Chain an der Wurzel kappen
Die Operation Endgame setzt auf einen strategischen Ansatz: Nicht erst beim Einsatz von Ransomware einzugreifen, sondern die gesamte Kill Chain frühzeitig zu stören. Während in den Anfangsjahren der Initiative vor allem Dropper und Loader ins Visier rückten, hat sich der Fokus nun auf Stealer und Remote-Access-Trojaner verlagert – jene Schadsoftware, die den initialen Zugang schafft und sensible Daten systematisch absaugt.
Rhadamanthys repräsentiert diese Entwicklung exemplarisch. Seit seiner ersten Dokumentation im Dezember 2022 hat sich der Stealer zu einem globalen Werkzeugkasten der Cyberkriminalität entwickelt. VenomRAT wiederum basiert auf dem berüchtigten Quasar Remote-Access-Trojaner und dient als Fernsteuerungsinstrument infizierter Systeme.
Hinweise für Täter, Zeugen und Betroffene
Die beteiligten Behörden setzen auf Aufklärung und Prävention. Über kurze Videobotschaften und einen eigenen Telegram-Kanal sollen Tätergruppen zum Nachdenken gebracht und potenzielle Zeugen zur Kooperation bewegt werden. Gleichzeitig können Betroffene über spezielle Plattformen prüfen, ob ihre Zugangsdaten kompromittiert wurden.
Das Bundesamt für Sicherheit in der Informationstechnik unterstützt die Operation durch Warnungen an Provider, stellt Informationen zu Botnetzen bereit und bietet Hilfestellungen zur Bereinigung infizierter Systeme.
Die Operation Endgame wird fortgeführt. Die Botschaft der Behörden ist klar: Cyberkriminelle sollen nicht nur technische Rückschläge hinnehmen, sondern ein dauerhaft erhöhtes Risiko spüren. Die internationale Strafverfolgung setzt dafür auf enge Kooperation, technische Exzellenz und finanzielle Austrocknung der Täterstrukturen – ein Kurs, der die Schattenökonomie der digitalen Erpressung nachhaltig unter Druck setzt.
