Operation Endgame 2.0: Internationale Behörden nehmen führende Schadsoftware-Netzwerke vom Netz

Deutsche Sicherheitsbehörden haben gemeinsam mit internationalen Partnern in einer koordinierten Aktion die derzeit einflussreichsten Schadsoftware-Varianten vom Netz genommen. Bei der Operation Endgame 2.0, die vom 19. bis 22. Mai 2025 stattfand, wurden 37 mutmaßliche Cyberkriminelle identifiziert und gegen einen Großteil von ihnen internationale Haftbefehle erwirkt, teilen das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main mit.

Die Strafverfolgungsbehörden aus Deutschland, den Niederlanden, Frankreich, Dänemark, Großbritannien, Kanada und den USA haben den Tätern den Zugriff auf rund 300 Server entzogen, davon etwa 50 in Deutschland. Zudem wurden etwa 650 Domains unschädlich gemacht und Kryptowährung im Wert von umgerechnet 3,5 Millionen Euro sichergestellt.

Ziel: Zerschlagung der Cybercrime-Infrastruktur

Die Operation Endgame wurde 2022 von Deutschland initiiert und gilt als bislang größte internationale Polizeioperation gegen Cybercrime im engeren Sinne. Ziel ist es, die relevantesten Schadsoftware-Varianten der Kategorie „Initial Access Malware“ unschädlich zu machen. Diese Schadsoftware dient als Türöffner, um unbemerkt Opfersysteme zu infizieren und weitere Schadsoftware nachzuladen – beispielsweise zum Ausspähen von Daten oder zur Verschlüsselung mit dem Ziel der Lösegelderpressung (Ransomware).

Die aktuellen Maßnahmen richten sich gegen die Schadsoftware-Varianten Bumblebee, Danabot, Hijackloader, Latrodectus, Qakbot, Trickbot und Warm-cookie. Darüber hinaus unterstützten die Endgame-Partner die federführend durch Microsoft durchgeführten Takedown-Maßnahmen gegen die Schadsoftware-Variante Lumma.

Unterstützung durch das BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt die Operation mit eigenen Analysen sowie Sinkholing-Maßnahmen. Beim Sinkholing werden die Kontaktversuche der Schadsoftware von infizierten Systemen detektiert und die Betroffenen über eine festgestellte Infektion an ihrem Internetanschluss benachrichtigt.

„Um nachhaltig geschützt zu sein, müssen die Betroffenen noch selbst tätig werden und ihre Systeme von der Schadsoftware bereinigen“, erklärt BSI-Präsidentin Claudia Plattner. Inhaber eines betroffenen Internetanschlusses erhalten eine Benachrichtigung über ihren Internetprovider. Eine konkrete Identifikation des betroffenen Endgerätes ist dabei nicht möglich, allerdings können Hinweise auf das Betriebssystem und die Geräteklasse gegeben werden.

Internationale Fahndungen und Rückerstattung für Opfer

Gegen 18 mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Quakbot“ fahnden die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und das BKA öffentlich. Bei den Verdächtigen handelt es sich überwiegend um russische Staatsangehörige. Die US-amerikanischen Behörden haben gegen 17 Akteure sogenannte „Indictments“ nach angloamerikanischem Recht erlassen.

BKA-Präsident Holger Münch betont: „Mit unseren Maßnahmen leisten wir als BKA einen entscheidenden Beitrag zur aktiven Cybersicherheit in Deutschland.“

Bei den Endgame-Maßnahmen konnten die Strafverfolgungsbehörden auch Vermögenswerte sicherstellen, die nun an die Betroffenen zurückfließen sollen. Nach derzeitigem Stand stehen hierfür rund 21 Millionen Euro zur Verfügung. BKA und ZIT werden nach Erhalt einer Liste der amerikanischen Behörden auf die entsprechenden deutschen Opfer zugehen und den Prozess der Rückerstattung einleiten.

Bisherige Maßnahmen der Operation Endgame

Die Operation Endgame hat bereits mehrere Maßnahmen gegen die Underground Economy durchgeführt:

• Im Mai 2024 richteten sich die ersten Maßnahmen gegen die personelle, finanzielle und technische Infrastruktur der damals einflussreichsten sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot.
• Im September 2024 erfolgten Maßnahmen gegen die kriminellen Kryptowährungsbörsen Cryptex und PM2BTC, wobei die Plattformen beschlagnahmt und Vermögenswerte sichergestellt wurden.
• Im April 2025 wurden Maßnahmen gegen die identifizierten Kunden des Smokeloader-Akteurs „superstar75737“ durchgeführt, wobei mehrere Personen vorläufig festgenommen und vernommen sowie Hausdurchsuchungen durchgeführt wurden.

Weitere Informationen zur Operation Endgame sowie Hinweise zur Bereinigung infizierter Systeme sind auf den Webseiten des BKA (www.bka.de/Endgame) und des BSI (www.bsi.bund.de/dok/botnetz-provider-info) abrufbar.

(Quellen: BSI, BKA / Dieser Beitrag wurde mithilfe von KI-Tools erstellt und redaktionell geprüft.)