Operation Endgame 2.0: BKA meldet weitere 20 Haftbefehle gegen Cyberkriminelle

Deutschland und internationale Partner haben erneut führende Akteure der „Underground Economy“ ins Visier genommen – im Zuge der bislang weltweit größten Polizeioperation im Cyberspace

[datensicherheit.de, 23.05.2025] Laut einer Meldung des Bundeskriminalamts (BKA) vom 23. Mai 2025 haben die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA in einer international abgestimmten Aktion im Zeitraum vom 19. bis 22. Mai 2025 gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Kanada und den USA sowie mit Unterstützung durch EUROPOL und EUROJUST die derzeit einflussreichsten Schadsoftware-Varianten vom Netz genommen und dahinterstehende Täter identifiziert.

Abbildung: BKA

BKA: Auf den cyberkriminellen Webseiten der betroffenen illegalen Dienste wurde dieses Sicherstellungsbanner veröffentlicht

Cyberkriminellen wurde erhebliche Menge ihrer finanziellen Basis entzogen

„Im Zuge der internationalen Ermittlungen konnten gegen 37 identifizierte Akteure strafprozessuale Maßnahmen eingeleitet werden. Hierbei wurden gegen einen Großteil der Beschuldigten internationale Haftbefehle erwirkt und internationale Fahndungsmaßnahmen eingeleitet, die durch Öffentlichkeitsfahndungen auch von EUROPOL und INTERPOL unterstützt werden.“

Die an der „Operation Endgame 2.0“ beteiligten Staaten haben demnach den Tätern den Zugriff auf weltweit rund 300 Server entzogen – davon etwa 50 in Deutschland. Zudem seien ca. 650 Domains unschädlich gemacht worden. Damit sei es den Strafverfolgungsbehörden gelungen, die technische Infrastruktur der Täter entscheidend zu schwächen. „Es wurde ,Krypto-Währung’ im Gesamtwert von derzeit umgerechnet 3,5 Millionen Euro sichergestellt und den Cyberkriminellen so eine erhebliche Menge ihrer finanziellen Basis entzogen.“

Erfolg für bislang größte internationale Polizei-Operation gegen Cybercrime im engeren Sinne

Den aktuellen Maßnahmen seien aufwändige Ermittlungen in den beteiligten Staaten vorausgegangen. „In Deutschland werden die Ermittlungen unter anderem wegen des ,Verdachts der banden- und gewerbsmäßigen Erpressung’ sowie der ,Mitgliedschaft in einer kriminellen Vereinigung im Ausland’ geführt.“ Auf dieser Grundlage hätten ZIT und BKA gemeinsam internationale Haftbefehle gegen 20 Akteure, „weit überwiegend russische Staatsangehörige“, erwirken und entsprechende Fahndungsmaßnahmen einleiten. Ergänzend hätten die US-amerikanischen Behörden gegen 17 Akteure sogenannte „Indictments“ nach angloamerikanischem Recht erlassen. „Die maßgeblich durch die ZIT und das BKA koordinierten Maßnahmen sind Teil der ,Operation Endgame’, die im Jahr 2022 von Deutschland initiiert wurde und die bislang größte internationale Polizei-Operation gegen Cybercrime im engeren Sinne darstellt.“

• Der BKA-Präsident, Holger Münch, kommentiert: „Deutschland steht im besonderen Fokus von Cyberkriminellen. Mit der ,Operation Endgame 2.0‘ haben wir erneut gezeigt: Unsere Strategien wirken – auch im vermeintlich anonymen Darknet. Mit unseren Maßnahmen leisten wir als BKA einen entscheidenden Beitrag zur aktiven Cybersicherheit in Deutschland. Und diese Aktivitäten wollen und werden wir angesichts der bestehenden Bedrohungslage im Bereich Cybercrime deutlich ausbauen.“
• „Die internationale Kooperation der Strafverfolgungsbehörden zur Bekämpfung von Cybercrime funktioniert und wird ständig fortentwickelt“, betont der ZIT-Leiter, Oberstaatsanwalt Dr. Benjamin Krause. Diese sei aber auch alternativlos: „Denn nur mit gemeinsamen Maßnahmen wie der Beschlagnahme krimineller IT-Infrastruktur, der Abschöpfung kriminell erlangter Finanzmittel und internationalen Fahndungsmaßnahmen können die Verantwortlichen von global tätigen Cybercrime-Gruppierungen effektiv verfolgt werden.“

Gesamtes „Cybercrime-as-a-service-Ökosystem“ an der Wurzel bekämpfen

Ziel der „Operation Endgame“ ist es laut BKA, die relevantesten Schadsoftware-Varianten der Kategorie „Initial Access Malware“ (sogenannte Dropper oder Loader) unschädlich zu machen. Schadsoftware dieser Kategorie werde zur Erstinfektion genutzt und diene Cyberkriminellen als „Türöffner“, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. „Dies geschieht beispielsweise zum Ausspähen von Daten oder zur Verschlüsselung des Systems mit dem Ziel der Erpressung von Lösegeld (sogenannte Ransomware).“

Die Sicherheitsbehörden verfolgten die Strategie, unmittelbar am Anfang der Angriffskette (der „Kill Chain“) anzusetzen und das gesamte „Cybercrime-as-a-service-Ökosystem“ an der Wurzel zu schädigen. Durch gebündelte Maßnahmen gegen die täterseitig genutzte technische und finanzielle Infrastruktur und gegen die Akteure gleich mehrerer solcher teilweise kollaborierender Tätergruppen solle das Geschäftsmodell der Cyberkriminellen nachhaltig zerstört werden.

Cybercrime-Gruppierungen wollten „Krypto-Währungen“ in gesetzliche Zahlungsmittel tauschen

Im Rahmen der „Operation Endgame“ haben die Sicherheitsbehörden nach eigenen Angaben bereits mehrere Maßnahmen gegen die „Underground Economy“ durchgeführt:

• „Die ersten Maßnahmen im Mai 2024 richteten sich gegen die personelle, finanzielle und technische Infrastruktur der seinerzeit einflussreichsten sechs Schadsoftware-Familien ,IcedID’, ,SystemBC’, ,Bumblebee’, ,Smokeloader’, ,Pikabot’ und ,Trickbot’. Die von mindestens 15 Ransomware-Gruppierungen genutzten Botnetze konnten erfolgreich zerschlagen werden.“
• „Im September 2024 erfolgten Maßnahmen gegen die kriminellen ,Krypto-Währungsbörsen’ ,Cryptex’ und ,PM2BTC’, im Zuge derer die Plattformen beschlagnahmt und Vermögenswerte sichergestellt wurden. Diese Plattformen wurden von diversen Cybercrime-Gruppierungen, genutzt, um ,Krypto-Währungen’ in gesetzliche Zahlungsmittel zu tauschen.“
• „Zuletzt wurden im April 2025 Maßnahmen gegen die identifizierten Kunden des Smokeloader-Akteurs ,superstar75737‘ durchgeführt. Bei diesen Maßnahmen wurden mehrere Personen vorläufig festgenommen und vernommen sowie Hausdurchsuchungen durchgeführt.“
• „Die aktuellen Maßnahmen unter dem Arbeitsnamen ,Endgame 2.0‘ adressieren die entsprechenden Nachfolge-Gruppierungen sowie weitere relevante Schadsoftware-Varianten: ,Bumblebee’, ,Danabot’, ,Hijackloader’, ,Latrodectus’, ,Qakbot’, ,Trickbot’ und ,Warm-cookie’. Ein maßgeblicher Teil der Maßnahmen richtet sich außerdem gegen die dahinterstehende Täterschaft.“
• „Darüber hinaus haben die ,Endgame’-Partner die aktuell federführend durch Microsoft durchgeführten Takedown-Maßnahmen gegen die Schadsoftware-Variante ,Lumma’ unterstützt.“

Öffentlichkeitsfahndungen gegen identifizierte Cyberkriminelle

Gegen 18 Akteure, mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Quakbot“, fahnden ZIT und BKA nun öffentlich. Lichtbilder und Beschreibungen der Beschuldigten werden auf der BKA-Website dargestellt: „Dort können weiterhin auch Informationen zu den acht Öffentlichkeitsfahndungen im Zuge der ,Endgame’-Maßnahmen aus Mai 2024 abgerufen werden, die sich gegen weitere mutmaßliche Mitglieder der Gruppierungen ,Trickbot’ und ,Smokeloader’ richten.“

Die „Operation Endgame“ soll fortgesetzt werden und wählt dazu über die Fahndungsmaßnahmen hinaus eine neue Herangehensweise, indem sie sich auch direkt an die Täter wendet. Über die Website der internationalen polizeilichen Partner stehen fortlaufend Informationen zur Verfügung – dort werden die Akteure in Form von Kurzvideos mit der Botschaft „Operation Endgame – think about (y)our next move“ direkt adressiert und darüber hinaus potenzielle Zeugen um Hinweise gebeten.

BSI unterstützt aktiv Vorgehen gegen Cyberkriminalität

Seit Mai 2024 unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die „Endgame“-Partner, indem es unter anderem die Infrastruktur zur Umleitung des Datenverkehrs auf behördeneigene Server bereitstellt und die Umleitungen koordiniert und umsetzt (sogenanntes Sinkholing). Darüber hinaus wertet das BSI technische Asservate aus und sammelt zielgerichtet Informationen bezüglich relevanter Schadsoftware-Varianten.

„Für Deutschland hat das BSI nachhaltige Maßnahmen ergriffen, um den Zugriff infizierter Systeme auf die Steuerungssysteme der Täter auch über deren Abschaltung hinaus effektiv zu unterbinden. Dabei werden die Kontaktversuche der Schadsoftware von infizierten Opfersystemen detektiert und die Betroffenen über eine festgestellte Infektion an ihrem Internetanschluss benachrichtigt.“ Weitere Informationen zum Thema „Botnetze“ sowie Steckbriefe zu den Schadsoftware-Varianten mit Hinweisen zur Bereinigung infizierter Systeme sind auf der BSI-Website abrufbar.

Konfiszierte Vermögenswerte zur Entschädigung der Cybercrime-Opfer

Bei den „Endgame“-Maßnahmen konnten die internationalen Strafverfolgungsbehörden auch Vermögenswerte sicherstellen, die nun an die Betroffenen zurückfließen sollen: „Aktuell findet durch die zuständigen amerikanischen Behörden eine Aufarbeitung statt, welche Unternehmen weltweit nachweislich Opfer von Ransomware aufgrund einer Primärinfektion durch die Schadsoftware ,Qakbot’ geworden sind.“

Nach derzeitigem Stand stehen hierfür „rund 21 Millionen Euro“ zur Verfügung. BKA und ZIT werden nach Erhalt der Liste auf die entsprechenden deutschen Opfer zugehen und den Prozess der Rückerstattung mit den amerikanischen Behörden einleiten.

Weitere Informationen zum Thema:

Bundeskriminalamt
OPERATION ENDGAME

OPERATION ENDGAME
HOME

Bundesamt für Sicherer in der Informationstechnik
Provider informiert über Botnetz-Infektion / Ihr Provider informiert Sie über eine Infektion

EUROPOL
Über Europol / Europa sicherer machen

EUROJUST European Union Agency for Criminal Justice Cooperation
Wer wir sind

INTERPOL
What is INTERPOL?

datensicherheit.de, 23.05.2025
Schlag gegen Cyberkriminelle: BSI-Unterstützung für Strafverfolgungsbehörden / Deutschland und zahlreiche internationale Partner haben bei der „Operation Endgame 2.0“ die derzeit einflussreichsten Schadsoftware-Varianten vom Netz genommen und Strafverfolgungsmaßnahmen gegen Cyberkriminelle eingeleitet

datensicherheit.de, 19.09.2024
Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy / BKA und ZIT konnten 47 in Deutschland gehostete cyber-kriminelle Exchange-Services abschalten

datensicherheit.de, 03.06.2024
BKA meldet erfolgreichen internationalen Schlag gegen Cyber-Kriminalität / Laut BKA 100 cyber-kriminelle Server beschlagnahmt und 1.300 Domains außer Gefecht gesetzt