Operation Endgame: BKA und ZIT nehmen drei gefährliche Malware-Varianten vom Netz

Die internationale Operation Endgame geht weiter. Die Generalstaatsanwaltschaft Frankfurt am Main, dort die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), und das Bundeskriminalamt haben erneut zentrale Werkzeuge der Cybercrime-Szene ins Visier genommen. Im Mittelpunkt standen diesmal SocGholish, StealC und Amadey. Der Einsatz lief vom 15. bis 19. Juni 2026 und war international abgestimmt. Neben den deutschen Ermittlern waren Strafverfolger aus den Niederlanden, Dänemark, Großbritannien, den USA und Kanada beteiligt. Unterstützung kam zudem von Europol, Eurojust, Microsoft und weiteren IT-Sicherheitsunternehmen.

15.000 Webseiten, 320 Server und 140 Domains

Nach Angaben des BKA (DE) wurden rund 15.000 Webseiten, mehr als 320 Server und über 140 Domains unschädlich gemacht. 40 dieser Server standen in Deutschland. Die Ermittler setzen damit an zentraler Infrastruktur an, über die Täter Schadsoftware verbreiten, steuern oder neue Angriffe vorbereiten. Zugleich stellten die Einsatzkräfte rund 27 Millionen Zugangsdaten sicher. Die Dimension zeigt sich auch bei den Opfern: Mehr als 385.000 Personen und Organisationen sollen betroffen sein. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun die Benachrichtigung der Betroffenen. Außerdem identifizierten und markierten die Ermittler Kryptovermögen krimineller Herkunft im Umfang von derzeit mehr als 47 Millionen US-Dollar.

Warum diese Malware-Familien so wichtig sind

SocGholish, StealC und Amadey stehen nicht für einzelne, voneinander losgelöste Angriffe. Sie gehören vielmehr zu einem arbeitsteiligen Markt, in dem Cyberkriminelle Zugänge zu fremden Systemen beschaffen, weiterverkaufen oder selbst für Folgeangriffe nutzen. Häufig beginnt an genau dieser Stelle erst die eigentliche Angriffskette. SocGholish wurde über kompromittierte Webseiten verbreitet. Nutzer bekamen dort vermeintliche Browser-Updates angezeigt. Wer die Datei ausführte, installierte jedoch keine Aktualisierung, sondern Schadsoftware. Der anschließend geschaffene Zugriff wurde im Nachgang für weitere Angriffe genutzt.

StealC zielte vor allem auf gespeicherte Zugangsdaten, Passwörter und digitale Identitäten. Solche Informationen sind für Täter besonders wertvoll. Sie werden verkauft, für Kontenübernahmen missbraucht oder als Grundlage für neue Angriffe gegen Unternehmen und Privatpersonen genutzt. Zudem kann StealC weitere Schadsoftware nachladen und damit den Schaden auf einem bereits kompromittierten System ausweiten. Amadey verbreitete sich unter anderem über Phishing-Kampagnen. Auch diese Malware dient als Einstiegspunkt. Sie kann weitere Schadprogramme auf ein betroffenes System bringen, Daten abgreifen und Angreifern dadurch zusätzlichen Spielraum verschaffen.

Angriff auf den Anfang der Kette

Die Operation Endgame setzt nicht erst dort an, wo Systeme bereits verschlüsselt sind und Opfer erpresst werden. Der Zugriff erfolgt deutlich früher. Die Ermittler greifen die Werkzeuge an, mit denen Täter überhaupt erst in fremde Rechner eindringen. Gerade Dropper, Loader und Stealer sind für solche Angriffsketten entscheidend. Sie öffnen den ersten Zugang, bereiten weitere Infektionen vor und schaffen in vielen Fällen die Grundlage für spätere Ransomware-Angriffe. Deshalb richtet sich der Einsatz nicht nur gegen einzelne Schadprogramme, sondern gegen die technische Vorstufe vieler Cyberangriffe. In Deutschland laufen die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie wegen Erpressung im besonders schweren Fall. Für die Täter bedeutet der Einsatz den Verlust wichtiger Infrastruktur. Für potenzielle Opfer bedeutet er vor allem, dass laufende Infektionsketten unterbrochen werden, bevor daraus der nächste größere Angriff entstehen kann.