Wiesbaden (ots) – Rund 15.000 Webseiten, \u00fcber 320 Server und mehr als 140 Domains unsch\u00e4dlich gemacht +++ Ca. 27 Millionen Opferdaten sichergestellt. Erfolgreiche Zusammenarbeit mit Kooperationspartnern aus der Privatindustrie
\nDie Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bek\u00e4mpfung der Internetkriminalit\u00e4t (ZIT) – und das Bundeskriminalamt (BKA) sind in einer international abgestimmten Aktion im Zeitraum vom 15.06. bis 19.06.2026
\ngemeinsam mit Strafverfolgungsbeh\u00f6rden aus den Niederlanden, D\u00e4nemark, Gro\u00dfbritannien, USA und Kanada sowie mit Unterst\u00fctzung durch Europol, Eurojust, das US-Softwareunternehmen Microsoft und weitere internationale
\nIT-Sicherheitsdienstleister erfolgreich gegen drei der weltweit gef\u00e4hrlichsten Schadsoftware-Varianten („SocGholish“, „StealC“ und „Amadey“) vorgegangen.<\/p>\n
Der Fokus der Ma\u00dfnahmen lag auf der nachhaltigen Zerschlagung der jeweiligen technischen Infrastrukturen. So haben die internationalen Strafverfolgungsbeh\u00f6rden in enger Kooperation mit Microsoft insgesamt rund 15.000 Webseiten, \u00fcber 320 Server, davon 40 in Deutschland, und mehr als 140 Domains, die t\u00e4terseitig genutzt wurden, unsch\u00e4dlich gemacht.<\/p>\n
In diesem Zusammenhang wurden auch ca. 27 Millionen Zugangsdaten von \u00fcber 385.000 Opfer sichergestellt, zu denen die Pr\u00fcfung der individuellen Betroffenheit \u00fcber \u00f6ffentlich zug\u00e4ngliche Informationsplattformen m\u00f6glich ist. Zus\u00e4tzlich unterst\u00fctzt das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) bei der Benachrichtigung von Betroffenen in Deutschland.<\/p>\n
Dar\u00fcber hinaus wurde Kryptoverm\u00f6gen kriminellen Ursprungs von derzeit \u00fcber 47 Millionen US-Dollar
\nidentifiziert, gekennzeichnet und dadurch in der Nutzung eingeschr\u00e4nkt.<\/p>\n
In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsm\u00e4\u00dfigen Erpressung sowie der Erpressung im besonders schweren Fall gef\u00fchrt. Die Ma\u00dfnahmen nehmen den T\u00e4tern zentrale Werkzeuge aus der Hand, unterbrechen die virtuelle Infektionskette und sch\u00fctzen viele weitere potentielle Opfer vor diesen Schadsoftware-Varianten.<\/p>\n
Mit der Operation wurde ein wesentlicher Baustein des kriminellen Wertsch\u00f6pfungsprozesses der vernetzten
\nund arbeitsteiligen Strukturen im Bereich Cybercrime geschw\u00e4cht.<\/p>\n
Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA: „Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben.<\/p>\n
Dadurch wurde auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme unterbunden. Das zeigt, dass die internationalen Strafverfolgungsbeh\u00f6rden Cybercrime grenz\u00fcberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor.“<\/p>\n
Dr. Benjamin Krause, Leitender Oberstaatsanwalt und Pressesprecher der ZIT: „Die Operation Endgame ist das Paradebeispiel der internationalen Kooperation von Strafverfolgungsbeh\u00f6rden und privaten Organisationen im gemeinsamen Kampf gegen
\nCybercrime. Wie die Kriminellen arbeiten auch wir arbeitsteilig und international vernetzt, um schlagkr\u00e4ftig zu sein. Der Unterschied ist: Wir stehen auf der guten Seite.“<\/p>\n
Gesch\u00e4ftsmodell „Cybercrime-as-a-Service“<\/strong> – Die Schadsoftware SocGholish (sog. Dropper\/Loader) verschaffte Unbefugten durch die Verteilung von vermeintlichen Browser-Updates \u00fcber kompromittierte Webseiten Zugang zu Computersystemen. Statt des Updates f\u00fchrten Internetnutzer die Schadsoftware aus. Die unbefugt erlangten Zug\u00e4nge dienten fortan als Ausgangspunkt f\u00fcr weitere Straftaten, insbesondere das Nachladen von Ransomware f\u00fcr digitale Erpressungen.<\/p>\n – Die \u00fcber unterschiedliche Angriffsvektoren verteilte Schadsoftware StealC (sog. Stealer mit Dropper-Funktionalit\u00e4t) war vor allem darauf spezialisiert, sensible Informationen wie Passw\u00f6rter, gespeicherte Zugangsdaten und digitale Identit\u00e4ten aus Computern von Betroffenen auszulesen und f\u00fcr kriminelle Folgenutzungen, insbesondere Handel und Missbrauch der – Die Schadsoftware Amadey (sog. Dropper\/Loader) wurde vor allem \u00fcber Phishing-Kampagnen verbreitet. Sie fungierte damit als erster Baustein einer gr\u00f6\u00dferen Angriffskette und war in der Lage, weitere Schadsoftware auf Betroffenensysteme einzubringen.<\/p>\n Daneben verf\u00fcgte die Schadsoftware \u00fcber Stealer-Funktionalit\u00e4ten und konnte so auch sensible Daten abgreifen.<\/p>\n Strategie der Operation Endgame<\/strong> Dies geschieht beispielsweise zum Aussp\u00e4hen von Daten oder zur Verschl\u00fcsselung des Systems mit dem Ziel der Erpressung von Mittlerweile verf\u00fcgen immer h\u00e4ufiger auch Varianten der Kategorie „Stealer“ \u00fcber Funktionen zum Nachladen von Schadsoftware. Deren Prim\u00e4raufgabe war es bislang eigentlich, unbemerkt Opfersysteme zu infizieren, um sensible Daten und Die Sicherheitsbeh\u00f6rden verfolgen die Strategie, unmittelbar am Anfang der Angriffskette, der sogenannten „Kill Chain“, anzusetzen und das gesamte „Cybercrime-as-a-Service“-\u00d6kosystem an der Wurzel zu sch\u00e4digen. Durch geb\u00fcndelte Ma\u00dfnahmen gegen die technische und finanzielle Infrastruktur der T\u00e4ter und gegen die T\u00e4ter selbst soll dieses Gesch\u00e4ftsmodell nachhaltig zerst\u00f6rt werden.<\/p>\n \u00dcber die Webseite der internationalen polizeilichen Partner stehen fortlaufend Informationen zur Verf\u00fcgung: www.operation-endgame.com<\/a>. Hier werden entsprechende kriminelle Akteure in Form von Kurzvideos mit der Botschaft „Operation Endgame – think about (y)our next move“ direkt adressiert und dar\u00fcber hinaus potenzielle Zeugen um Hinweise gebeten.<\/p>\n Informationen f\u00fcr Opfer: F\u00fcr Deutschland hat das BSI nachhaltige Ma\u00dfnahmen ergriffen, um den Zugriff infizierter Systeme auf die Steuerungssysteme der T\u00e4ter auch \u00fcber deren Abschaltung hinaus effektiv zu unterbinden. Dabei werden die Kontaktversuche der Schadsoftware von infizierten Opfersystemen detektiert und die Betroffenen \u00fcber eine festgestellte Infektion an ihrem Internetanschluss benachrichtigt.<\/p>\n Weitere Informationen zum Thema Botnetze sowie Steckbriefe zu den Schadsoftware-Varianten mit Hinweisen zur Bereinigung infizierter Systeme sind auf der BSI-Webseite abrufbar: https:\/\/www.bsi.bund.de\/dok\/botnetz-provider-info<\/a><\/p>\n Dar\u00fcber hinaus benachrichtigt das BSI betroffene Institutionen und Unternehmen direkt \u00fcber abgeflossene Zugangsdaten der Schadsoftware StealC, die im Rahmen der Strafverfolgungsma\u00dfnahmen erlangt wurden. Zur Art der betroffenen Daten Wiesbaden (ots) – Rund 15.000 Webseiten, \u00fcber 320 Server und mehr als 140 Domains unsch\u00e4dlich gemacht +++ Ca. 27 Millionen<\/p>\n","protected":false},"author":3,"featured_media":460309,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[20,5,14],"tags":[28396],"class_list":["post-460307","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-besondere-neuigkeiten","category-politik-wirtschaft","category-tipps-informationen","tag-bka-operation-endgame-mit-weiterem-erfolg-drei-gefaehrliche-schadsoftware-varianten-vom-netz-genommen"],"_links":{"self":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts\/460307","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/comments?post=460307"}],"version-history":[{"count":1,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts\/460307\/revisions"}],"predecessor-version":[{"id":460308,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts\/460307\/revisions\/460308"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/media\/460309"}],"wp:attachment":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/media?parent=460307"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/categories?post=460307"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/tags?post=460307"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nDie beseitigten Schadsoftware-Varianten wurden als Dienstleistung („Cybercrime-as-a-Service“) bereitgestellt und von anderen Cyberkriminellen als Werkzeug f\u00fcr die Erstinfektion von Opfersystemen eingesetzt. Damit waren sie in der Folge Ausgangspunkt f\u00fcr weitere Straftaten (z. B. das Nachladen von Ransomware f\u00fcr digitale Erpressungen oder die missbr\u00e4uchliche Nutzung von
\nDaten).<\/p>\n
\nDatenbest\u00e4nde, bereitzustellen.<\/p>\n
\nZiel der Operation Endgame ist es, die relevantesten Schadsoftware-Varianten der Kategorie „Initial Access Malware“ (sog. Dropper\/Loader) unsch\u00e4dlich zu machen. Schadsoftware dieser Kategorie wird zur Erstinfektion genutzt. Sie dient
\nCyberkriminellen als T\u00fcr\u00f6ffner, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen.<\/p>\n
\nL\u00f6segeld (sog. Ransomware).<\/p>\n
\nZugangsinformationen zu stehlen. Sie k\u00f6nnen dadurch ebenfalls zur Installation von Ransomware verwendet werden. Daher geht die Operation Endgame seit 2025 neben Droppern und Loadern auch gezielt gegen Stealer-Schadsoftware vor.<\/p>\n
\n<\/strong>Seit Mai 2024 unterst\u00fctzt das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) die Partner der Operation Endgame, indem es unter anderem die Infrastruktur zur Umleitung des Datenverkehrs auf beh\u00f6rdeneigene Server bereitstellt und die Umleitungen koordiniert und umsetzt (sogenanntes Sinkholing). Dar\u00fcber hinaus wertet das BSI technische Asservate aus und sammelt zielgerichtet Informationen bez\u00fcglich relevanter Schadsoftware-Varianten.<\/p>\n
\nstellt das BSI unter https:\/\/www.bsi.bund.de\/dok\/StealC<\/a> weitere Informationen
\nbereit.<\/p>\n","protected":false},"excerpt":{"rendered":"