Internationale Strafverfolger aus verschiedenen Ländern haben erneut einen Schlag gegen Malware, Botnets und Server der Infrastruktur cyberkrimineller Vereinigungen ausgeführt. Damit haben sie die VenomRAT, Elysium und 1025 Server aus dem Netz genommen und vorerst lahmgelegt.

Auf der Webseite zur Aktion gegen Cybercrime „Operation Endgame“ begrüßt die Besucher zunächst ein KI-Video, das sich über die Cyberkriminellen hinter dem Rhadamanthys-Infostealer lustig macht. Auch sonst ist die Webseite recht martialisch aufgemacht. „Staffel 3 der Operation Endgame hat begonnen“, schreiben die Strafverfolger dort recht markig.

Nicht nur Infostealer im Visier

Die Operation lief zwischen dem 10. und 13. November 2025 und wurde aus dem Europol-Hauptquartier in Den Haag koordiniert. Im Visier der Ermittler war nicht nur der Infostealer Rhadamanthys, sondern auch der Remote-Access-Trojaner VenomRAT sowie das Botnetz Elysium. Allen komme eine Schlüsselrolle im internationalen Cybercrime zu, erörtern die Beamten. Die Behörden haben diese drei großen Cybercrime-Beihelfer ausgeschaltet.

Der Hauptverdächtige hinter der Fernzugriffs-Malware VenomRAT wurde bereits am 3. November in Griechenland festgenommen. Die abgeschaltete Infrastruktur zeichnete für hunderttausende Infektionen von Opfern mit Malware weltweit verantwortlich, erklären die Strafverfolger weiter. Hinter der lahmgelegten Infrastruktur verbargen sich hunderttausende infizierte Computer, die ihrerseits mehrere Millionen gestohlener Zugangsdaten enthielten. Viele Opfer wüssten nichts von der Infektion ihrer Rechner. Der Hauptverdächtige hinter dem Rhadamanthys-Infostealer hatte Zugriff auf mehr als 100.000 Krypto-Wallets, die diesen Opfern gehörten und möglicherweise Millionen von Euros wert seien. Auf der Webseite der niederländischen Polizei sowie bei Have-I-Been-Pwned können Interessierte prüfen, ob ihre E-Mail-Adresse Teil der kriminellen Beutezüge ist.

Alon Gal, Geschäftsführer des israelischen Threat-Intelligence-Spezialisten Hudson Rock, kennt sich in der Infostealer-Szene aus. Die Nervosität der Kriminellen halte sich in Grenzen, stellt er im Gespräch mit heise security fest: „Diese Leute haben eine hohe Risikobereitschaft und lassen sich von werbewirksamen Aktionen der Strafverfolger nicht entmutigen“.

Die zweite Operation-Endgame-Aktion fand Ende Mai dieses Jahres statt. Dort haben die internationalen Strafverfolger 20 Haftbefehle erlassen und allein in Deutschland 50 Server aus dem Netz genommen und 650 Domains der Kontrolle der Cyberkriminellen entrissen. Die Ermittler haben bei der Analyse 15 Millionen E-Mail-Adressen und 43 Millionen Passwörter von Opfern gefunden, die das Have-I-Been-Pwned-Projekt in seinen Fundus aufgenommen hat.

(dmk)

Die EU-Kommission hat heute ein neues Verfahren gegen Alphabet, den Mutterkonzern von Google, eröffnet. Grund dafür ist ein möglicher Verstoß gegen den Digital Markets Act (DMA). Demnach vermutet die Kommission, dass die weltgrößte Suchmaschine manche Nachrichten-Websites diskriminiert.

Das EU-Gesetz schreibt besonders großen Online-Diensten vor, dass sie ihre Marktmacht nicht missbrauchen dürfen, um dem Wettbewerb im digitalen Raum zu schaden. Doch in der Google Suche, die von der EU-Kommission als sogenannter Gatekeeper eingestuft wurde, würden möglicherweise keine fairen und diskriminierungsfreien Verhältnisse herrschen. Immer wieder würden Medienseiten in den Ergebnissen ausgeblendet oder heruntergestuft. Doch warum passiert das?

Google hat seit dem Vorjahr eine neue Spam-Richtlinie im Einsatz: die Richtlinie zum Missbrauch des Website-Rufs („Site Reputation Abuse Policy“). Damit soll erkannt werden, wenn bei der Suchmaschinenoptimierung (SEO) getrickst wird. Konkret geht es beispielsweise darum, dass Websites Inhalte von Drittanbietern hosten, die laut Google eigentlich nicht zu ihren Inhalten passen und Nutzende „verwirren“ würden. Drittanbieter würden dabei den Ruf und die Vertrauenswürdigkeit der Site nutzen, um in den Suchergebnissen weiter oben aufzutauchen. Als Beispiel gibt Google eine gekaperte medizinische Website an, die die Werbeseite eines Drittanbieters zu den „besten Casinos“ hostet.

Medien verlieren wichtige Einnahmen

Die EU-Kommission sieht darin ein Problem. In der Praxis könne die Richtlinie dazu führen, dass Inhalte wie Preisvergleiche oder Produktbewertungen auf einer Nachrichtenseite fälschlicherweise als Spam erkannt und die betreffenden Subdomains aus den Suchergebnissen ausgeblendet würden. Dadurch würden Nachrichtenseiten Besuche auf ihre Website („Traffic“) verlieren und dementsprechend auch Einnahmen, sagte ein Kommissionsbeamter am Donnerstag gegenüber der Presse. Außerdem hätten die Nachrichtenseiten kaum Möglichkeiten, sich gegen potenzielle Fehlentscheidungen von Google zu wehren.

Google argumentiert, dass es qualitativ hochwertige Suchergebnisse anzeigen will und deswegen so handelt. Das Problem ist durchaus real, die Frage ist nur, ob Google damit diskriminierungsfrei umgeht.

Konkrete Fälle, die geschätzte Anzahl betroffener Medien und die ungefähre Höhe der Einnahmeverluste will die Kommission aufgrund der laufenden Ermittlungen nicht preisgeben. Sie erklärt zudem, dass Google News nicht Teil der Untersuchung sei, weil der Dienst kein Gatekeeper sei und nicht vom DMA erfasst werde. Ebenso werde die KI-Zusammenfassung in der Google Suche, die auch zu einem Verlust von Klicks auf Webseiten führt, nicht konkret untersucht. Jedoch behalte man Marktentwicklungen im Auge, so ein Kommissionsbeamter.

Früheres Verfahren läuft noch

Das Verfahren soll in 12 Monaten zum Abschluss kommen. Wie in solchen Untersuchungen üblich, wird die Kommission vorläufige Ergebnisse mit Alphabet teilen, ebenso denkbare Vorschläge, was der Konzern ändern sollte. Zugleich will sich die EU-Kommission mit Herausgebern austauschen. Parallel dazu läuft noch ein anderes Verfahren gegen Alphabet. Dieses bezieht sich auf die Bevorzugung von Google-eigenen Angeboten in den Suchergebnissen.

Sollte die Kommission am Ende ihrer Ermittlungen einen Verstoß feststellen, kann sie eine Strafe von bis zu zehn Prozent des weltweiten Jahresumsatzes des Konzerns verhängen.

In Netscaler ADC und Gateway von Citrix wurde eine Sicherheitslücke entdeckt. Aktualisierte Software steht bereit, die die Cross-Site-Scripting-Lücke schließt. Admins sollten sie rasch installieren.

In einer Sicherheitsmitteilung informiert Citrix sehr sparsam über die Schwachstelle. In einer Tabelle gibt es nur stichwortartige Hinweise: Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), mit der Common Weakness Enumeration Standard-Nummer 79 (CWE-79): „Unzureichende Neutralisierung von Eingaben während der Webseitengenerierung“. Klassisch erlaubt XSS das Unterjubeln von Javascript-Code mittels Links, auf die potenzielle Opfer klicken müssen, damit der Code ausgeführt wird. Der kann dann jedoch etwa das Kopieren von Session-Cookies ermöglichen, womit Angreifer den Zugang übernehmen könnten (CVE-2025-12101, CVSS4 5.9, Risiko „mittel„).

Deutlich abweichender Schweregrad je nach CVSS-Version

Da die Netscaler als Gateway wie VPN Virtual Server, ICA Proxy, CVPN oder RDP-Proxy oder als AAA Virtual Server konfiguriert sein müssen, nimmt Citrix für die Einordnung an, dass Vorbedingungen erfüllt sein müssen, damit Angreifer sie ausnutzen können. Das trägt jedoch dem Umstand nicht Rechnung, dass dies eine eher übliche Konfiguration ist, um damit Apps über das Internet bereitzustellen. Zudem rechnet Citrix mit ein, dass eine Benutzerinteraktion nötig ist, in diesem Fall das Klicken auf einen Link.

CVSS 4.0 kennt dafür die Schwachstellenvektoren-Bestandteile „AT:P“, ausgeschrieben als „Attack Requirements: Present“ (Attacken-Vorbedingungen: Vorhanden) sowie „UI:A“, „User Interaction: Active“ (Benutzerinteraktion: Aktiv). Die reduzieren das in CVSS 4.0 das rechnerische Risiko deutlich, in diesem Fall lässt sich jedoch insbesondere bei „AT:P“ darüber streiten, ob das in der Praxis zutrifft.

Das CERT-Bund nimmt seine Schweregrad-Einstufungen anhand von CVSS 3.1 vor. Darin gibt es diese Vektor-Bestandteile nicht. Damit kommt die BSI-Abteilung auf den Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:L/E:U/RL:O/RC:X – was in einem CVSS-Wert von 8.8 mündet, Risiko „hoch“, und nur knapp an der Einstufung als kritische Sicherheitslücke vorbeischrammt. Das bestätigte das CERT-Bund heise online auf Nachfrage.

Die praktische Einstufung dürfte irgendwo zwischen den CVSS-Werten liegen, Admins sollten daher auf jeden Fall zeitnah aktiv werden und die Updates installieren. Die Versionen Netscaler ADC und Gateway 14.1-56.73, 13.1-60.32, Netscaler ADC 13.1-FIPS und 13.1-NDcPP 13.1-37.250 sowie Netscaler ADC 12.1-FIPS und 12.1-NDcPP 12.1-55.333 sowie jeweils neuere Fassungen stopfen das Sicherheitsleck. Netscaler ADC und Gateway 13.0 und 12.1 sind am Ende des Lebenszyklus angelangt und erhalten keine Updates mehr.

Ende August waren noch zahlreiche Netscaler-Instanzen anfällig für die Citrix Bleed 3 genannte Sicherheitslücke. Global waren dort 28.000 Server verwundbar.

(dmk)