Header Logo

Aktuell

Unfälle

Verkehr

Einbruch

Aufrufe

Fahndungen

Vermisst

Feuerwehr

Tiere

Ratgeber

Kurioses

Baden Wuerttemberg
Bayern
Berlin
Brandenburg
Bremen
Hamburg
Hessen
Mecklenburg Vorpommern
Niedersachsen
Nordrhein Westfalen
Rheinland Pfalz
Saarland
Sachsen
Sachsen Anhalt
Schleswig Holstein
Thueringen

Polizei

ticker

Baden Wuerttemberg
Bayern
Berlin
Brandenburg
Bremen
Hamburg
Hessen
Mecklenburg Vorpommern
Niedersachsen
Nordrhein Westfalen
Rheinland Pfalz
Saarland
Sachsen
Sachsen Anhalt
Schleswig Holstein
Thueringen

Europol – Internationale Cyber-Operation gegen Malware-Netzwerke

Redaktion Polizeiticker Schweiz

Nächster ❯

Ein Mann sitzt vor einem Laptop in einem hellen Raum, während im Hintergrund ein großes digitales Display zu sehen ist.
Im Rahmen der Operation „Endgame“ gingen Ermittler weltweit gegen Server, Domains und Schadsoftware-Infrastrukturen vor. (Bildquelle: Europol)

Im Rahmen der internationalen Operation „Endgame“ haben Ermittler die Infrastruktur hinter den Schadprogrammen SocGholish, Amadey und StealC ins Visier genommen. Dabei wurden hunderte Server und Domains abgeschaltet, Millionen gestohlene Zugangsdaten gesichert und Kryptowerte unbrauchbar gemacht.

Internationale Cyber-Operation zerschlägt Malware-Netzwerke hinter SocGholish, Amadey und StealC

Europol hat gemeinsam mit internationalen Partnern im Rahmen der Operation „Endgame“ einen bedeutenden Schlag gegen globale Cyberkriminalitätsnetzwerke durchgeführt. Ziel der Aktion waren die kriminellen Infrastrukturen hinter den Schadprogrammen SocGholish, Amadey und StealC, die häufig bei Ransomware-Angriffen, Betrugsdelikten und Angriffen auf kritische Infrastrukturen eingesetzt werden.
An der Operation beteiligten sich Strafverfolgungsbehörden aus Kanada, Dänemark, Deutschland, den Niederlanden, dem Vereinigten Königreich und den USA. Unterstützt wurden sie unter anderem vom US-Technologiekonzern Microsoft. Die internationale Koordination erfolgte durch Europol und Eurojust.

Über 41 Millionen Euro in Kryptowerten gesichert

Im Zuge der Maßnahmen konnten Kryptowährungen krimineller Herkunft im aktuellen Wert von mehr als 41 Millionen Euro (rund 47 Millionen US-Dollar) identifiziert, markiert und damit für die Täter unbrauchbar gemacht werden.
Zudem wurden rund 27 Millionen gestohlene Zugangsdaten und Login-Informationen sichergestellt.
Während der Aktion gingen Ermittler und private Partner gegen insgesamt 326 Server sowie 142 Internet-Domains vor. Dadurch wurde das Verbreitungsnetzwerk der Schadsoftware erheblich geschwächt.

Cybercrime-as-a-Service: Kriminalität zum Mieten

Die betroffenen Schadprogramme wurden nach dem Modell „Cybercrime-as-a-Service“ angeboten. Kriminelle konnten diese Werkzeuge mieten, um Computer zunächst zu infizieren und anschließend weitere Straftaten zu begehen.
Dazu gehörten beispielsweise:
  • Installation von Ransomware zur digitalen Erpressung
  • Diebstahl sensibler Daten
  • Finanzbetrug
  • Identitätsdiebstahl

So funktionierten die Schadprogramme

SocGholish

SocGholish gehört zur Kategorie sogenannter Loader- beziehungsweise Dropper-Malware. Die Schadsoftware wurde über kompromittierte Webseiten verbreitet, indem Nutzern gefälschte Browser-Updates angezeigt wurden.
Wer das vermeintliche Update installierte, lud in Wirklichkeit die Schadsoftware herunter und gewährte Angreifern Zugriff auf sein System. Die kompromittierten Webseiten basierten häufig auf WordPress-Systemen, die zuvor von Kriminellen gehackt worden waren.
Die Zugriffe wurden anschließend unter anderem genutzt, um Ransomware auf den betroffenen Computern zu installieren.

StealC

StealC ist ein sogenannter Infostealer mit zusätzlichen Loader-Funktionen. Die Schadsoftware wurde über verschiedene Angriffswege verbreitet und war darauf ausgelegt, Passwörter, gespeicherte Zugangsdaten und digitale Identitäten auszulesen.
Die gestohlenen Informationen wurden anschließend gehandelt oder für weitere Straftaten verwendet.

Amadey

Amadey wurde hauptsächlich über Phishing-Kampagnen verbreitet und diente als Einstiegspunkt für weitere Malware-Infektionen. Gleichzeitig verfügte das Programm über Funktionen zum Diebstahl sensibler Daten.
Ein weißes elektronisches Gerät mit verbundenen Kabeln. Ein Aufkleber mit der Aufschrift 'Operation Endgame' und mehreren Flaggen ist sichtbar.
Mehr als 41 Millionen Euro in Kryptowerten sowie Millionen gestohlene Zugangsdaten konnten im Zuge der internationalen Cyber-Operation gesichert werden. (Bildquelle: Europol)

Fast 15.000 infizierte Webseiten bereinigt

Im Rahmen der Maßnahmen gegen SocGholish wurden insgesamt 14.971 kompromittierte Webseiten bereinigt. Betroffen waren unter anderem Internetseiten von Restaurants, Autowerkstätten und anderen alltäglichen Dienstleistungsunternehmen.
SocGholish wird der russischen Cyberkriminellen-Gruppe „Evil Corp“ zugeschrieben. Die Gruppe war bereits in der Vergangenheit mit den Schadprogrammen Zeus und Dridex sowie verschiedenen Ransomware- und Geldwäscheaktivitäten in Verbindung gebracht worden.
Zu den wichtigsten Maßnahmen gehörten:
  • Bereinigung kompromittierter WordPress-Webseiten
  • Benachrichtigung betroffener Betreiber
  • Abschaltung von Servern
  • Übernahme kriminell genutzter Domains
  • Warnungen an Betroffene über Plattformen wie HaveIBeenPwned, Shadowserver oder Spamhaus

Warnung an WordPress-Nutzer

Die niederländische Polizei hat bereits Sicherheitslücken auf betroffenen Webseiten beseitigt und deren Betreiber informiert.
WordPress-Nutzern wird empfohlen:
  • Passwörter umgehend zu ändern
  • Zwei-Faktor-Authentifizierung zu aktivieren
  • Unbekannte Benutzerkonten zu löschen
  • WordPress und installierte Erweiterungen stets aktuell zu halten

Woran man gefälschte Updates erkennt

Da SocGholish häufig über gefälschte Software-Updates verbreitet wird, raten die Ermittler zur Vorsicht:
  • Pop-up-Fenstern im Browser sollte grundsätzlich misstraut werden.
  • Besonders auffällige Warnmeldungen mit Zeitdruck sind verdächtig.
  • Auch professionell aussehende Update-Hinweise können gefälscht sein.
  • Echte Updates stammen immer aus offiziellen Quellen wie Systemeinstellungen oder App-Stores.

Neuer Ansatz gegen Cyberkriminalität

Nach Angaben von Europol markiert die Operation einen Strategiewechsel. Statt einzelne Tätergruppen oder Schadprogramme isoliert zu bekämpfen, richtete sich die Aktion gegen die gesamte Infrastruktur und Lieferkette hinter groß angelegten Cyberangriffen.
Besonders die Kombination aus Amadey und StealC spielt laut Ermittlern eine zentrale Rolle im Cybercrime-Ökosystem: Während Amadey den Erstzugang zu Computersystemen ermöglicht, stiehlt StealC anschließend Zugangsdaten und sensible Informationen.
Nach Erkenntnissen von Microsoft wurden allein in den ersten beiden Maiwochen 2026 weltweit mehr als 140.000 infizierte Computer mit diesen Schadprogrammen in Verbindung gebracht.

Operation Endgame

Die aktuellen Maßnahmen sind Teil der Operation Endgame, der bislang größten internationalen Aktion gegen die Infrastruktur von Ransomware-Gruppen und deren Unterstützern.
Beteiligt sind Strafverfolgungs- und Justizbehörden aus Australien, Belgien, Kanada, Dänemark, Frankreich, Deutschland, den Niederlanden, dem Vereinigten Königreich und den Vereinigten Staaten.
Mehr als 30 staatliche und private Organisationen unterstützen die Operation regelmäßig. Ziel ist es, die technische und finanzielle Infrastruktur hinter Cyberkriminalität dauerhaft zu stören und die Aktivitäten internationaler Tätergruppen einzuschränken.
Quelle der Polizeinachricht: Europol

Kategorien:

Ausland

Nächster ❯

Europol – Internationale Cyber-Operation gegen Malware-Netzwerke