Operation Endgame 3: 1025 Server von Netz genommen

Internationale Strafverfolger aus verschiedenen Ländern haben erneut einen Schlag gegen Malware, Botnets und Server der Infrastruktur cyberkrimineller Vereinigungen ausgeführt. Damit haben sie die VenomRAT, Elysium und 1025 Server aus dem Netz genommen und vorerst lahmgelegt.

Auf der Webseite zur Aktion gegen Cybercrime „Operation Endgame“ begrüßt die Besucher zunächst ein KI-Video, das sich über die Cyberkriminellen hinter dem Rhadamanthys-Infostealer lustig macht. Auch sonst ist die Webseite recht martialisch aufgemacht. „Staffel 3 der Operation Endgame hat begonnen“, schreiben die Strafverfolger dort recht markig.

Nicht nur Infostealer im Visier

Die Operation lief zwischen dem 10. und 13. November 2025 und wurde aus dem Europol-Hauptquartier in Den Haag koordiniert. Im Visier der Ermittler war nicht nur der Infostealer Rhadamanthys, sondern auch der Remote-Access-Trojaner VenomRAT sowie das Botnetz Elysium. Allen komme eine Schlüsselrolle im internationalen Cybercrime zu, erörtern die Beamten. Die Behörden haben diese drei großen Cybercrime-Beihelfer ausgeschaltet.

Der Hauptverdächtige hinter der Fernzugriffs-Malware VenomRAT wurde bereits am 3. November in Griechenland festgenommen. Die abgeschaltete Infrastruktur zeichnete für hunderttausende Infektionen von Opfern mit Malware weltweit verantwortlich, erklären die Strafverfolger weiter. Hinter der lahmgelegten Infrastruktur verbargen sich hunderttausende infizierte Computer, die ihrerseits mehrere Millionen gestohlener Zugangsdaten enthielten. Viele Opfer wüssten nichts von der Infektion ihrer Rechner. Der Hauptverdächtige hinter dem Rhadamanthys-Infostealer hatte Zugriff auf mehr als 100.000 Krypto-Wallets, die diesen Opfern gehörten und möglicherweise Millionen von Euros wert seien. Auf der Webseite der niederländischen Polizei sowie bei Have-I-Been-Pwned können Interessierte prüfen, ob ihre E-Mail-Adresse Teil der kriminellen Beutezüge ist.

Alon Gal, Geschäftsführer des israelischen Threat-Intelligence-Spezialisten Hudson Rock, kennt sich in der Infostealer-Szene aus. Die Nervosität der Kriminellen halte sich in Grenzen, stellt er im Gespräch mit heise security fest: „Diese Leute haben eine hohe Risikobereitschaft und lassen sich von werbewirksamen Aktionen der Strafverfolger nicht entmutigen“.

Die zweite Operation-Endgame-Aktion fand Ende Mai dieses Jahres statt. Dort haben die internationalen Strafverfolger 20 Haftbefehle erlassen und allein in Deutschland 50 Server aus dem Netz genommen und 650 Domains der Kontrolle der Cyberkriminellen entrissen. Die Ermittler haben bei der Analyse 15 Millionen E-Mail-Adressen und 43 Millionen Passwörter von Opfern gefunden, die das Have-I-Been-Pwned-Projekt in seinen Fundus aufgenommen hat.

(dmk)