Internationale Strafverfolgungsbehörden haben im Rahmen der Operation Endgame erneut einen Schlag gegen die Infrastruktur von Cyberkriminellen durchgeführt. Nach Angaben von Europol, dem deutschen Bundeskriminalamt (BKA) und weiteren Partnern wurden zentrale Komponenten der Malware-Familien Amadey, Socgholish und Stealc ausser Betrieb gesetzt.

An der zwischen dem 15. und 19. Juni durchgeführten Aktion beteiligten sich Behörden aus Dänemark, Deutschland, Grossbritannien, Kanada, den Niederlanden und den USA. Unterstützt wurden die Ermittlungen von Europol, Eurojust, Microsoft sowie mehreren Sicherheitsunternehmen.

Wie das BKA mitteilt, wurden im Zuge der Massnahmen rund 15'000 kompromittierte Websites bereinigt, mehr als 320 Server abgeschaltet und über 140 Domains sichergestellt. Zudem identifizierten die Ermittler Kryptowerte kriminellen Ursprungs im Gegenwert von mehr als 41 Millionen Euro und schränkten deren Nutzung ein. Darüber hinaus wurden gemäss BKA etwa 27 Millionen gestohlene Zugangsdaten von mehr als 385'000 Betroffenen sichergestellt.

Die drei betroffenen Schadprogramme wurden im Modell "Cybercrime-as-a-Service" angeboten. Socgholish verbreite sich vor allem über kompromittierte Websites und gefälschte Browser-Updates. Nutzende würden dabei vermeintliche Aktualisierungen installieren, die stattdessen Schadsoftware auf das System bringen. Die Malware dient laut Europol häufig als Ausgangspunkt für spätere Ransomware-Angriffe.

Stealc hingegen sei auf den Diebstahl von Passwörtern, Zugangsdaten und digitalen Identitäten spezialisiert. Die erbeuteten Informationen werden unter anderem für Betrugsdelikte oder den Handel mit kompromittierten Konten verwendet.

Amadey werde überwiegend über Phishing-Kampagnen verbreitet und dient zum Nachladen weiterer Schadsoftware. Gleichzeitig könne die Malware sensible Daten von infizierten Systemen auslesen.

Die Operation Endgame konzentriert sich auf Initial-Access-Malware. Dazu gehören Loader, Dropper und mittlerweile auch Stealer, die Cyberkriminellen den ersten Zugang zu einem System verschaffen. Die Behörden verfolgen dabei das Ziel, Angriffe möglichst früh in der Kill Chain zu unterbrechen.

Die Sicherheitsbehörden verfolgen laut BKA die Strategie, "das gesamte 'Cybercrime-as-a-Service'-Ökosystem an der Wurzel zu schädigen." Statt einzelne Täter oder Malware-Kampagnen zu verfolgen, richte sich der Fokus zunehmend auf die Infrastruktur und die Dienstleistungsmodelle hinter dem Cybercrime-Geschäft. Nach Einschätzung der beteiligten Behörden wurde mit der jüngsten Aktion ein wichtiger Bestandteil des Cybercrime-Ökosystems geschwächt.