Europol: Cyber-Schlag gegen globales Malware-Netzwerk

Elf Länder greifen durch: Über 1.000 Server beschlagnahmt, Millionen Zugangsdaten sichergestellt. Die größte koordinierte Aktion gegen Cyberkriminalität des Jahres trifft die Infrastruktur von Ransomware-Banden an ihrer verwundbarsten Stelle.

Was wie ein digitaler Polizeieinsatz der Superlative klingt, ist tatsächlich einer: Zwischen dem 10. und 13. November haben Ermittler aus elf Nationen drei der produktivsten Schadsoftware-Plattformen zerschlagen. Die Operation „Endgame 3.0″ unter Koordination von Europol richtete sich gegen die Infostealer-Malware Rhadamanthys, den Fernzugriffs-Trojaner VenomRAT und das Elysium-Botnetz. Mehr als 100 Beamte aus den USA, Großbritannien, Australien, Kanada und mehreren EU-Staaten waren im Einsatz.

Das Ergebnis: 1.025 beschlagnahmte Server weltweit, 20 konfiszierte Domains – und die Festnahme eines Hauptverdächtigen in Griechenland, der als Kopf hinter VenomRAT gilt. Diese Infrastruktur hatte Hunderttausende Computer rund um den Globus infiziert und massenhaft sensible Daten abgegriffen.

Passend zum Thema Cyberkriminalität: Die jüngsten Takedowns zeigen, wie gefährlich Infostealer und Botnetze für persönliche Daten sind — besonders wenn Ihr Smartphone und installierte Apps ungeschützt sind. Der kostenlose Ratgeber erklärt die fünf wichtigsten Schutzmaßnahmen für Android-Geräte: sichere Einstellungen, App‑Prüfung, Backup‑Strategien, Passwortschutz und Zwei‑Faktor‑Authentifizierung. So schließen Sie die Lücken, über die Daten häufig abfließen. Kostenlos per E‑Mail, sofort verfügbar. Gratis-Ratgeber: 5 Schutzmaßnahmen für Android herunterladen

Auf den sichergestellten Servern fanden die Ermittler einen digitalen Alptraum: mehrere Millionen gestohlene Zugangsdaten. Konkret handelt es sich um rund 2 Millionen E-Mail-Adressen und 7,4 Millionen Passwörter. Die kompromittierten Daten wurden bereits an den Dienst „Have I Been Pwned” übergeben, wo Nutzer prüfen können, ob sie betroffen sind.

Besonders perfide: Viele Opfer hatten keine Ahnung, dass ihre Systeme infiltriert waren. Der Rhadamanthys-Infostealer erwies sich dabei als besonders gefährlich. Der Hauptverdächtige hinter dieser Schadsoftware hatte Zugriff auf über 100.000 Kryptowährungs-Wallets von Opfern – Wert: mehrere Millionen Euro. Die Shadowserver Foundation, eine Non-Profit-Organisation, die an der Operation mitwirkte, identifizierte zwischen März und November 2025 über 500.000 einzigartige Rhadamanthys-Infektionen in 226 Ländern.

Strategie-Wechsel: Angriff auf die Lieferkette der Kriminellen

Was macht diese Operation so bedeutsam? Die Ermittler gingen nicht gegen einzelne Ransomware-Banden vor, sondern attackierten die Infrastruktur-Anbieter der Cybercrime-Szene. Rhadamanthys stiehlt Login-Daten aus Browsern, VenomRAT ermöglicht Fernzugriff auf kompromittierte Rechner – beides essenzielle Werkzeuge für weiterführende Angriffe wie Spionage oder Erpressungstrojaner.

„Diese Operation traf die Ransomware-Wirtschaft an ihrer Quelle”, erklärt Adam Meyers, Leiter der Counter-Adversary-Abteilung bei CrowdStrike. Die Zerschlagung dieser Dienste zwingt kriminelle Akteure, neue Tools zu suchen und ihre Infrastruktur neu aufzubauen. Das verschafft IT-Sicherheitsexperten wertvolle Zeit, ihre Abwehrmaßnahmen zu verstärken.

Zum Vergleich: Während deutsche Unternehmen wie SAP und die Telekom jährlich Millionen in Cybersecurity investieren, operieren diese Malware-as-a-Service-Plattformen quasi als kriminelle Dienstleister – mit einem Geschäftsmodell, das nun massiv gestört wurde.

Internationale Kraftanstrengung mit privater Unterstützung

Koordiniert wurde der Einsatz von Europols Hauptquartier in Den Haag aus. Beteiligt waren neben den bereits genannten Ländern auch Behörden aus Dänemark, Frankreich, Deutschland, Griechenland und den Niederlanden. Eurojust erleichterte die Vollstreckung Europäischer Haftbefehle und Ermittlungsanordnungen.

Entscheidend für den Erfolg: die Zusammenarbeit mit über 30 privaten Cybersecurity-Firmen, darunter Bitdefender, CrowdStrike, Proofpoint und die Shadowserver Foundation. Diese Unternehmen lieferten entscheidende Erkenntnisse zur Analyse der Schadsoftware und benachrichtigten betroffene Netzwerkbetreiber. Die öffentlich-private Partnerschaft gilt zunehmend als Schlüssel im Kampf gegen globale Cyberkriminalität.

Nachhaltige Störung statt Kurzzeitwirkung?

Operation Endgame ist keine Einmalaktion, sondern eine mehrstufige Kampagne. Nach Phasen im Mai 2024 und April 2025 setzt diese dritte Welle den Fokus auf Dropper, Botnetze und Infostealer – jene Tools, die kriminellen Akteuren den initialen Zugang zu Systemen verschaffen.

Experten räumen ein: Solche Takedowns wirken oft nur temporär, da Kriminelle sich neu organisieren. Doch die Kombination aus Verhaftungen, Server-Beschlagnahmungen und öffentlicher Bloßstellung schädigt das Vertrauen in kriminelle Marktplätze nachhaltig. Die Anonymität, auf die diese Dienste angewiesen sind, bröckelt.

Die offizielle Website der Operation wurde aktualisiert und dient sowohl als Informationsquelle für Betroffene als auch als unmissverständliche Botschaft an die Szene: Wir beobachten euch. Weitere Aktionen sind angekündigt.

Was Nutzer jetzt tun sollten

Die Empfehlung der Behörden ist eindeutig: Prüfen Sie über „Have I Been Pwned” oder die niederländische Plattform „CheckYourHack”, ob Ihre Zugangsdaten kompromittiert wurden. Bei betroffenen Accounts sollten sofort die Passwörter geändert und Zwei-Faktor-Authentifizierung aktiviert werden.

Die Beschlagnahme von Millionen Zugangsdaten zeigt einmal mehr: Die Folgen von Malware-Infektionen reichen weit über den einzelnen Rechner hinaus. Was als vermeintlich harmlose Infektion beginnt, mündet regelmäßig in großflächigen Datendiebstähle – mit potenziell verheerenden Konsequenzen für Privatpersonen und Unternehmen gleichermaßen.

PS: Wenn Millionen Zugangsdaten in falsche Hände geraten, hilft es, das Smartphone schnell und einfach abzusichern. Dieses kompakte Sicherheitspaket führt Sie Schritt für Schritt durch sofort umsetzbare Maßnahmen — ohne teure Zusatz-Apps. Erfahren Sie, welche Einstellungen Sie jetzt aktivieren sollten, wie Sie verdächtige Apps erkennen und warum regelmäßige Backups Ihre Konten retten können. Sofort per E‑Mail anforderbar. Jetzt Android-Sicherheits‑Paket anfordern