Operation Endgame: BKA meldet weiterem Erfolg – drei gefährliche Schadsoftware-Varianten vom Netz genommen

ZIT und BKA sind in einer international abgestimmten Aktion u.a. gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Dänemark, Großbritannien, den USA und Kanada sowie mit Unterstützung durch EUROPOL, EUROJUST und Microsoft erfolgreich gegen „SocGholish“, „StealC“ und „Amadey vorgegangen

[datensicherheit.de, 27.06.2026] Die Generalstaatsanwaltschaft Frankfurt am Main –Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) sind nach eigenen Angaben in einer international abgestimmten Aktion im Zeitraum vom 15. bis 19. Juni 2026 gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Dänemark, Großbritannien, den USA und Kanada sowie mit Unterstützung durch EUROPOL, EUROJUST, das US-Softwareunternehmen Microsoft und weitere internationale IT-Sicherheitsdienstleister erfolgreich gegen drei der weltweit gefährlichsten Schadsoftware-Varianten („SocGholish“, „StealC“ und „Amadey“) vorgegangen. Der Fokus der Maßnahmen hat demnach auf der nachhaltigen Zerschlagung der jeweiligen technischen Infrastrukturen gelegen.

Abbildung: OPERATION ENDGAME

Webseite der „OPERATION ENDGAME“

27 Millionen Zugangsdaten von über 385.000 Opfern sichergestellt

So hätten die internationalen Strafverfolgungsbehörden in enger Kooperation mit Microsoft insgesamt rund 15.000 Webseiten, über 320 Server – davon 40 in Deutschland – und mehr als 140 täterseitig genutzte Domains unschädlich gemacht.

• In diesem Zusammenhang seien auch ca. 27 Millionen Zugangsdaten von über 385.000 Opfern sichergestellt worden, zu denen die Prüfung der individuellen Betroffenheit über öffentlich zugängliche Informationsplattformen möglich sei. Zusätzlich unterstütze das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Benachrichtigung von Betroffenen in Deutschland.

Darüber hinaus sei „Krypto-Vermögen“ kriminellen Ursprungs von derzeit über 47 Millionen US-Dollar identifiziert, gekennzeichnet und dadurch in der Nutzung eingeschränkt worden.

Wesentlicher Baustein des kriminellen Wertschöpfungsprozesses geschwächt

In Deutschland würden die Ermittlungen unter anderem wegen des „Verdachts der banden- und gewerbsmäßigen Erpressung“ sowie der „Erpressung im besonders schweren Fall“ geführt. Die Maßnahmen nähmen den Tätern nun zentrale Werkzeuge aus der Hand, würden die „virtuelle Infektionskette“ unterbrechen und viele weitere potenzielle Opfer vor diesen Schadsoftware-Varianten schützen. Mit dieser Operation sei ein wesentlicher Baustein des kriminellen Wertschöpfungsprozesses der vernetzten und arbeitsteiligen Strukturen im Bereich Cybercrime geschwächt worden.

• Carsten Meywirth, Leiter der Abteilung „Cybercrime“ im BKA, kommentiert: „Mit der Fortsetzung der ,Operation Endgame’ sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben. Dadurch wurde auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme unterbunden. Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor.“

• Dr. Benjamin Krause, Leitender Oberstaatsanwalt und Pressesprecher der ZIT, führt aus: „Die ,Operation Endgame’ ist das Paradebeispiel der internationalen Kooperation von Strafverfolgungsbehörden und privaten Organisationen im gemeinsamen Kampf gegen Cybercrime. Wie die Kriminellen arbeiten auch wir arbeitsteilig und international vernetzt, um schlagkräftig zu sein. Der Unterschied ist: Wir stehen auf der guten Seite!“

Schadsoftware-Varianten im „Cybercrime-as-a-Service“-Kontext

Die beseitigten Schadsoftware-Varianten wurden laut BKA als Dienstleistung („Cybercrime-as-a-Service“) bereitgestellt und von anderen Cyberkriminellen als Werkzeug für die Erstinfektion von Opfersystemen eingesetzt. Somit waren sie in der Folge Ausgangspunkt für weitere Straftaten (z.B. das Nachladen von Ransomware für digitale Erpressungen oder die missbräuchliche Nutzung von Daten).

• „SocGholish“
  Die Schadsoftware „SocGholish“ (sog. Dropper / Loader) habe Unbefugten durch die Verteilung von vermeintlichen Browser-Updates über kompromittierte Webseiten Zugang zu Computersystemen verschafft. Statt des Updates hätten dann Internetnutzer die Schadsoftware ausgeführt. Die unbefugt erlangten Zugänge hätten fortan als Ausgangspunkt für weitere Straftaten dient – insbesondere das Nachladen von Ransomware für digitale Erpressungen.
• „StealC“
  Die über unterschiedliche Angriffsvektoren verteilte Schadsoftware „StealC“ (sog. Stealer mit Dropper-Funktionalität) sei vor allem darauf spezialisiert gewesen, sensible Informationen wie Passwörter, gespeicherte Zugangsdaten und digitale Identitäten aus Computern von Betroffenen auszulesen und für kriminelle Folgenutzungen, insbesondere Handel und Missbrauch der Datenbestände, bereitzustellen.
• „Amadey“
  Die Schadsoftware „Amadey“ (sog. Dropper / Loader) sei vor allem über Phishing-Kampagnen verbreitet worden. Sie habe damit als erster Baustein einer größeren Angriffskette fungiert und sei in der Lage, weitere Schadsoftware auf Betroffenensysteme einzubringen. Daneben habe diese Schadsoftware über Stealer-Funktionalitäten verfügt und habe so auch sensible Daten abgreifen können.

Strategie der Operation Endgame: Schadsoftware-Varianten der Kategorie „Initial Access Malware“ unschädlich machen

Ziel der „Operation Endgame“ ist es nach BKA-Angaben, die relevantesten Schadsoftware-Varianten der Kategorie „Initial Access Malware“, also sogenannte Dropper bzw. Loader, unschädlich zu machen. Schadsoftware dieser Kategorie werde zur Erstinfektion genutzt. Sie diene Cyberkriminellen quasi als Türöffner, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Dies geschehe beispielsweise zum Ausspähen von Daten oder zur Verschlüsselung des Systems mit dem Ziel der Erpressung von Lösegeld (sog. Ransomware).

• Mittlerweile verfügten immer häufiger auch Varianten der Kategorie „Stealer“ über Funktionen zum Nachladen von Schadsoftware. Deren Primäraufgabe sei es bislang eigentlich gewesen, unbemerkt Opfersysteme zu infizieren, um sensible Daten und Zugangsinformationen zu stehlen. Sie könnten dadurch ebenfalls zur Installation von Ransomware verwendet werden. Daher gehe die „Operation“ Endgame seit 2025 neben „Droppern“ und „Loadern“ auch gezielt gegen „Stealer“-Schadsoftware vor.
• Die Sicherheitsbehörden verfolgten die Strategie, unmittelbar am Anfang der Angriffskette, der „Kill Chain“, anzusetzen und das gesamte „Cybercrime-as-a-Service“-System an der „Wurzel“ zu schädigen. Durch gebündelte Maßnahmen gegen die technische und finanzielle Infrastruktur der Täter und gegen die Täter selbst solle dieses Geschäftsmodell nachhaltig zerstört werden.

Über die Websites der internationalen polizeilichen Partner stehen fortlaufend Informationen zur Verfügung. Dort werden entsprechende kriminelle Akteure in Form von Kurzvideos mit der Botschaft „Operation Endgame – think about (y)our next move“ direkt adressiert und darüber hinaus potenzielle Zeugen um Hinweise gebeten.

BSI bietet Informationen für Opfer

Seit Mai 2024 unterstützt auch das BSI die Partner der „Operation Endgame“, indem es unter anderem die Infrastruktur zur Umleitung des Datenverkehrs auf behördeneigene Server bereitstelle sowie diese Umleitungen koordiniere und umsetze (sogenanntes Sinkholing). Darüber hinaus werte das BSI technische Asservate aus und sammele zielgerichtet Informationen bezüglich relevanter Schadsoftware-Varianten.

• Für Deutschland habe das BSI nachhaltige Maßnahmen ergriffen, um den Zugriff infizierter Systeme auf die Steuerungssysteme der Täter auch über deren Abschaltung hinaus effektiv zu unterbinden. Dabei würden die Kontaktversuche der Schadsoftware von infizierten Opfersystemen detektiert und die Betroffenen über eine festgestellte Infektion an ihrem Internetanschluss benachrichtigt. Weitere Informationen zum Thema „Botnetze“ sowie Steckbriefe zu den Schadsoftware-Varianten mit Hinweisen zur Bereinigung infizierter Systeme sind auf der betreffenden BSI-Webseite abrufbar.

Darüber hinaus benachrichtige das BSI betroffene Institutionen und Unternehmen direkt über abgeflossene, im Rahmen der Strafverfolgungsmaßnahmen erlangte Zugangsdaten der Schadsoftware „StealC“. Zur Art der betroffenen Daten stellt das BSI online weitere Informationen bereit.

Weitere Informationen zum Thema:

Bundeskriminalamt
Aufgabenbereiche des BKA / Nationale und internationale Zusammenarbeit, Ermittlungen, Forschung und Entwicklung, Verwaltung und Personenschutz – erfahren Sie hier mehr zu den vielfältigen Aufgabenbereichen der Kriminalpolizei des Bundes

Bundeskriminalamt
OPERATION ENDGAME

Staatsanwaltschaften Hessen
GStA: Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT)

OPERATION ENDGAME
What will be (y)our next move?

EUROPOL
Über Europol / Europa sicherer machen

EUROJUST European Union Agency for Criminal Justice Cooperation
Wer wir sind

Handelsblatt Live, Technologie / IT, 23.05.2025
Cybercrime – Ohne Partner ist alles nichts / Gastbeitrag von Carsten Meywirth, Direktor und Leiter der Abteilung Cybercrime, Bundeskriminalamt

DPT Deutscher Präventionstag
Dr. Benjamin Krause

Bundesamt für Sicherheit in der Informationstechnik
Provider informiert über Botnetz-Infektion / Ihr Provider informiert Sie über eine Infektion

Bundesamt für Sicherheit in der Informationstechnik
StealC

datensicherheit.de, 23.05.2025
Operation Endgame 2.0: BKA meldet weitere 20 Haftbefehle gegen Cyberkriminelle / Deutschland und internationale Partner haben erneut führende Akteure der „Underground Economy“ ins Visier genommen – im Zuge der bislang weltweit größten Polizeioperation im Cyberspace