Cybercrime-as-a-Service: Microsoft und BKA gehen gegen Amadey und StealC vor

Microsoft, das Bundeskriminalamt, Europol und weitere Partner haben Infrastruktur hinter den Schadprogrammen Amadey und StealC gestört. Die Aktion zielte nicht nur auf einzelne Server, sondern auf eine ganze Cybercrime-Maschinerie ab.

Mehr als 200 Kontrollserver im Fadenkreuz

Microsofts Digital Crimes Unit spricht von mehr als 200 schädlichen Command-and-Control-Domains und IP-Adressen, die abgeschaltet, blockiert oder anderweitig außer Betrieb gesetzt wurden. Über solche Systeme steuern Angreifer infizierte Rechner, liefern weitere Schadsoftware nach oder sammeln gestohlene Daten ein. Laut Microsoft wurden zudem mehr als 18.000 kompromittierte Computer identifiziert und von der kriminellen Kontrolle getrennt.

Die Maßnahme wurde am 24. Juni 2026 öffentlich gemacht und steht im Zusammenhang mit der internationalen Operation Endgame. Daran sind neben Microsoft unter anderem Europol, das BKA sowie weitere Polizeibehörden und Sicherheitsunternehmen beteiligt. Das BKA ordnet die Aktion als weiteren Erfolg gegen Schadsoftware ein, die von Kriminellen als Dienstleistung angeboten oder für weitere Angriffe genutzt wird.

Amadey öffnet die Tür, StealC räumt die Daten ab

Amadey und StealC übernehmen in dieser Kette unterschiedliche Rollen. Amadey gilt als Loader, also als Schadprogramm, das nach einer Infektion Zugriff auf ein System schafft und anschließend weitere Schadsoftware nachladen kann. StealC ist dagegen ein sogenannter Infostealer. Er zielt auf Passwörter, Sitzungscookies, Zugangsdaten aus Browsern, E-Mail-Programmen, Messenger-Diensten, Gaming-Plattformen oder Krypto-Wallets.

Gerade diese Arbeitsteilung macht die Programme für Kriminelle interessant. Ein Angreifer muss nicht selbst alle Schritte eines Angriffs beherrschen, sondern kann einzelne Werkzeuge mieten, kombinieren oder über Zwischenhändler verwerten lassen. Gestohlene Zugangsdaten können anschließend für Betrug, Erpressung, Ransomware-Angriffe oder den Verkauf an andere Gruppen genutzt werden.

Microsoft begründet das gemeinsame Vorgehen gegen Amadey und StealC damit, dass beide Schadprogramme zwar von unterschiedlichen Kriminellen entwickelt wurden, aber auf gemeinsame Infrastruktur zurückgriffen. In den ersten beiden Maiwochen 2026 sollen beide Malware-Familien weltweit mit mehr als 140.000 infizierten Rechnern in Verbindung gestanden haben.

KI half bei der Jagd auf die Infrastruktur

Eine Besonderheit der Aktion ist laut Microsoft der Einsatz von KI-Werkzeugen bei der Malware-Analyse. Ermittler und Sicherheitsforscher nutzten demnach unter anderem Copilot, um zerlegten Schadcode schneller auszuwerten, verschlüsselte Zeichenketten zu analysieren und fest einprogrammierte Kontrollserver zu finden. Microsoft beschreibt den Vorteil vor allem als Zeitgewinn: Verbindungen, die sonst erst nach Stunden oder Tagen sichtbar geworden wären, sollen in deutlich kürzerer Zeit erkannt worden sein.

Die technischen Erkenntnisse waren auch für das juristische Vorgehen relevant. In den USA nutzte Microsoft nach eigenen Angaben unter anderem das RICO-Gesetz, das gegen organisierte Kriminalität gerichtet ist. Dadurch sollten mehrere Beteiligte nicht einzeln, sondern als Teil einer gemeinsamen kriminellen Struktur adressiert werden.

Mehr Druck auf Cybercrime-as-a-Service

Die Aktion bedeutet mutmaßlich nicht das endgültige Aus für Amadey und StealC. Cyberkriminelle bauen Infrastruktur häufig neu auf, wechseln Anbieter oder ersetzen einzelne Werkzeuge. Wenn aber mehrere Glieder derselben Angriffskette gleichzeitig getroffen werden, steigt der Aufwand für die Betreiber.

Privatnutzer und Unternehmen sollten den Vorgang zum Anlass nehmen die eigene IT-Sicherheit zu reflektieren. Infostealer können auch private Geräte zum Risiko für Firmennetze machen, wenn dort berufliche Konten, VPN-Zugänge oder Sitzungscookies gespeichert sind. Mehrfaktor-Authentifizierung hilft, schützt aber nicht in jedem Szenario, wenn Angreifer bereits gültige Sitzungstoken erbeuten. Wichtig bleiben daher aktuelle Schutzsoftware, getrennte private und berufliche Nutzung, Passwortwechsel nach Vorfällen und ein schnelles Sperren kompromittierter Konten.