Operation Endgame 3.0: 1.000+ Malware-Server für Rhadamanthys offline genommen

Im Rahmen der Operation Endgame hat das Bundeskriminalamt (BKA) gemeinsam mit Ermittlungsbehörden aus zahlreichen weiteren Ländern die Infrastruktur für die Info-Stealer-Malware „Rhadamanthys“ abgeschaltet. Betroffen sind insgesamt mehr als 1.000 Server.

Über 180 der Server befinden sich in Deutschland. Die Strafverfolgungsbehörden konnten in diesem Zusammenhang kompromittierte Daten von über 650.000 Opfern sicherstellen. Diese will man über Plattformen für die Öffentlichkeit bereitstellen, damit potenzielle Opfer die Daten individuell abgleichen können, heißt es in der Mitteilung des BKA. Strafverfolgungsbehörden haben zudem Kryptowerte der Täter in Höhe von 200 Millionen US-Dollar von führenden Krypto-Börsen sperren lassen.

Bei der Operation Endgame 3.0 handelt es sich um eine international abgestimmte Aktion, an der aus Deutschland die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main sowie das BKA beteiligt waren. Die Ermittlungen erfolgten gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Belgien und den USA, unterstützt wurde man von Behörden in Australien, Kanada, dem Vereinigten Königreich sowie Europol und Eurojust.

Neben dem Info-Stealer Rhadamanthys wurde auch die Infrastruktur des Remote-Access-Trojaners VenomRAT vom Netz genommen.

Info-Stealer als „Cybercrime-as-a-service“-Ökosystem

Mit Info-Stealern wie Rhadamanthys versuchen Angreifer, vertrauliche Daten von infizierten Systemen zu entwenden. Laut dem BSI erschien Rhadamanthys erstmals 2022. Die Malware hat eine modulare Architektur, die es Angreifern ermöglicht, Funktionen gezielt zu erweitern. Die Malware erfasst sowohl Zugangsdaten als auch Informationen über Wallets von Kryptowährungen.

Rhadamanthys wurde Cyberkriminelle als „Cybercrime-as-a-service“-System angeboten. Über Web-Hosting-Seiten konnten Interessierte sogenannte „Panels“ buchen, um den Info-Stealer einzusetzen. Diese Panels haben die Behörden jetzt abgeschaltet.

Generell versuchte man bei der Ermittlung, mit gebündelten Maßnahmen sowohl die technische als auch die finanzielle Infrastruktur der Täter ins Visier zu nehmen. Indem die Behörden den Server-Betrieb lahmlegten, setzte man an den „Wurzeln“ des Systems an, um das „Cybercrime-as-a-service“-Ökosystem nachhaltig zu stören. Ebenso wurde das Risiko für die Täter deutlich erhöht, so das BKA.