In drei koordinierten Schlägen hat Europol zwischen Mai 2024 und November 2025 mehr als 1.425 Server demontiert, über €21 Millionen in Kryptowährung beschlagnahmt und 14 der gefährlichsten Malware-Familien der Welt aus dem Verkehr gezogen. Operation Endgame, die bisher größte internationale Strafverfolgungsaktion gegen Botnet-Infrastruktur, schreibt weiter Geschichte. Das Bundeskriminalamt (BKA) war in allen drei Phasen aktiv beteiligt. Dieser Bericht analysiert den Verlauf, die Ergebnisse und was als Nächstes kommt.

Was ist Operation Endgame?

Operation Endgame ist eine fortlaufende, multinationale Strafverfolgungskampagne unter Führung von Europol und Eurojust, die sich gegen sogenannte Initial-Access-Malware richtet. Diese Schadsoftware, oft als Dropper oder Loader bezeichnet, ist das erste Glied in der Ransomware-Lieferkette. Cyberkriminelle nutzen sie, um Zugang zu Unternehmensnetzwerken zu erlangen und dann Ransomware, Spyware oder andere Schadprogramme nachzuladen.

Die Operation wurde 2022 vom BKA als gemeinsames internationales Ermittlungsverfahren initiiert und hat sich seitdem zu einer der bedeutendsten Strafverfolgungsaktionen im Bereich der Cyberkriminalität entwickelt. Europol beschreibt sie als “die größte jemals durchgeführte Operation gegen Botnets”. Kernstrategie: Anstatt einzelne Täter zu jagen, wird die Infrastruktur zerstört, auf die Kriminelle angewiesen sind.

Phase 1 (Mai 2024): Der erste große Schlag gegen IcedID, Smokeloader und Bumblebee

Am 27. bis 30. Mai 2024 koordinierten Behörden aus den Niederlanden, Deutschland, Frankreich, Dänemark, den USA und Großbritannien, unterstützt von Europol und Eurojust, den ersten massiven Schlag gegen Dropper-Malware-Infrastruktur. Das Ergebnis war beeindruckend: Über 100 Server wurden abgeschaltet, mehr als 2.000 Domains beschlagnahmt oder übernommen, und über 10.000 infizierte Systeme konnten desinfiziert werden.

Die Zielliste in Phase 1 umfasste einige der gefährlichsten Malware-Familien der Welt: IcedID (auch bekannt als BokBot), Smokeloader, SystemBC, Pikabot und Bumblebee. Diese Loader wurden bevorzugt genutzt, um Ransomware-Gruppen wie Akira, Conti-Nachfolger und Cl0p in Zielnetzwerke einzuschleusen.

Besonders spektakulär war der finanzielle Aspekt der ersten Phase: Ermittler stellten fest, dass ein Hauptverdächtiger €69 Millionen in Kryptowährung angehäuft hatte, die mit den kriminellen Aktivitäten in Verbindung standen. Beschlagnahmen wurden vorbereitet. Vier Verdächtige wurden in Armenien und der Ukraine festgenommen. Das BKA war aktiv an der Koordination beteiligt, und Server auf deutschem Territorium wurden als Teil des Takedowns abgeschaltet.

Phase 2 (Mai 2025): Kriminelle Gruppen bauen wieder auf, Endgame schlägt erneut zu

Ein Jahr nach dem ersten Schlag war klar: Die Cyberkriminellen hatten ihre Infrastruktur teilweise neu aufgebaut. Europols Direktorin Catherine De Bolle kommentierte die Wiederherstellung mit den Worten: “These new phases demonstrate law enforcement’s ability to adapt and strike again, even as cybercriminals retool and reorganise.”

In der zweiten Phase, die ebenfalls im Mai 2025 durchgeführt wurde, richteten sich die Ermittler gegen neue Malware-Varianten und Nachfolgegruppen, die nach den Takedowns von 2024 entstanden waren. Die Ergebnisse: 300 weitere Server abgeschaltet, 650 Domains übernommen und 20 internationale Haftbefehle ausgestellt. Die anvisierten Malware-Familien dieser Phase waren: Bumblebee (erneut), Lactrodectus, Qakbot (ebenfalls erneut aktiv), HijackLoader, DanaBot, TrickBot und WARMCOOKIE.

Die Gesamtmenge beschlagnahmter Kryptowährungen stieg nach Phase 2 auf über €17,7 Millionen. Catherine De Bolle bekräftigte die langfristige Ausrichtung der Operation: “By disrupting the services criminals rely on to deploy ransomware, we are breaking the kill chain at its source.” Die Botschaft war unmissverständlich: Endgame ist kein einmaliger Schlag, sondern eine Dauerkampagne.

Phase 3 (November 2025): 1.025 Server zerstört, VenomRAT-Verdächtiger in Griechenland verhaftet

Vom 10. bis 13. November 2025 führte Europol die bisher größte Einzelaktion von Operation Endgame durch. In koordinierten Razzien in mehreren Ländern wurden über 1.025 Server weltweit abgeschaltet oder gestört. Die Zielsetzung dieser Phase 3, die Europol als Start von “Season 3” ankündigte, war die Infrastruktur hinter drei besonders gefährlichen Bedrohungen: dem Infostealer Rhadamanthys, dem Remote-Access-Trojaner VenomRAT und dem Elysium-Botnet.

Bereits am 3. November 2025, eine Woche vor Beginn der koordinierten Aktion, wurde der Hauptverdächtige hinter VenomRAT in Griechenland verhaftet. Gleichzeitig führten Behörden in Deutschland, Griechenland und den Niederlanden Hausdurchsuchungen durch, darunter eine Razzia in Deutschland. Die Beschlagnahme von zusätzlichen €3,5 Millionen in Kryptowährung brachte die Gesamtsumme aller beschlagnahmten Mittel aus Operation Endgame auf mehr als €21,2 Millionen.

Der Umfang der Phase-3-Opfer verdeutlicht das Ausmaß der Bedrohung: Die zerstörte Infrastruktur hatte Hunderttausende von Computern weltweit infiziert und enthielt mehrere Millionen gestohlene Zugangsdaten. Der Hauptverdächtige hinter dem Infostealer hatte Zugriff auf über 100.000 Krypto-Wallets der Opfer, potenziell im Wert von Millionen von Euro. Shadowserver versendete Benachrichtigungen an CSIRTs in 175 Ländern und über 10.000 Netzbetreiber weltweit.

Die Malware-Familien im Überblick: Von IcedID bis Elysium

Operation Endgame hat in seinen drei Phasen einen breiten Querschnitt der gefährlichsten Malware-Ökosysteme angegriffen. Jede Familie erfüllte eine spezifische Rolle in der cyberkriminellen Lieferkette. Die folgende Tabelle zeigt alle anvisierten Malware-Familien und ihre Eigenschaften:

Malware-FamilieTypPhaseHauptfunktionZiel-Sektoren
IcedID (BokBot)Banking-Trojaner / DropperPhase 1 (2024)Zugangsdaten stehlen, Ransomware ladenFinanzsektor, KMU
SmokeloaderDownloader / BackdoorPhase 1 (2024)Weitere Malware nachladenAllgemein
SystemBCProxy-Malware / RATPhase 1 (2024)Verschleierter C2-KanalUnternehmen, Behörden
PikabotModular-LoaderPhase 1 (2024)Ransomware-BereitstellungFinanz, Gesundheit
BumblebeeLoaderPhase 1+2 (2024/2025)Cobalt Strike, Ransomware ladenUnternehmen
QakbotBanking-TrojanerPhase 2 (2025)Finanzdaten, NetzwerkzugangFinanz, Gesundheit
DanaBotBanking-Trojaner / MaaSPhase 2 (2025)Zugangsdaten, BetrugstransaktionenBanken, Versicherungen
TrickBotModular-TrojanerPhase 2 (2025)Netzwerkerkundung, Ransomware-VorbereitungUnternehmen, KMU
WARMCOOKIEBackdoorPhase 2 (2025)Persistenz, DatenexfiltrationAllgemein
RhadamanthysInfostealerPhase 3 (2025)Zugangsdaten, Krypto-Wallets stehlen175 Länder, alle Sektoren
VenomRATRemote Access TrojanerPhase 3 (2025)Fernzugriff, DatendiebstahlUnternehmen, Behörden
Elysium-BotnetBotnetPhase 3 (2025)C2-Infrastruktur, DDoS-UnterstützungKritische Infrastruktur, Gesundheit, Behörden

VenomRAT ist besonders bemerkenswert: Das Tool, das für $150 pro Monat als Malware-as-a-Service angeboten wurde, ist ein modifizierter Fork von QuasarRAT und wird seit seiner ersten Entdeckung im Juni 2020 weiterentwickelt. Es wird typischerweise über manipulierte E-Mail-Anhänge mit Office-Makros und PowerShell-Skripten verteilt.

11 Nationen im Einsatz: Die internationale Koalition hinter Operation Endgame

Operation Endgame ist das Ergebnis eines beispiellosen Maßes an internationaler Strafverfolgungskooperation. Für Phase 3 (November 2025) umfasste die Koalition 11 Länder: Australien, Belgien, Kanada, Dänemark, Frankreich, Deutschland, Griechenland, Litauen, Niederlande, Vereinigtes Königreich und die Vereinigten Staaten von Amerika. Koordiniert wurde die Aktion von Europol-Hauptquartier in Den Haag.

US-Justizminister Matthew Galeotti unterstrich den politischen Willen der amerikanischen Seite: “Today’s announcement sends a clear message to the cybercrime community. We are determined to hold cybercriminals accountable and will use every legal tool at our disposal to identify you, charge you, forfeit your ill-gotten gains, and disrupt your criminal activity.” Die internationale Ausrichtung ist kein Zufall, denn Cyberkriminelle nutzen gezielt Server in verschiedenen Ländern, um Strafverfolgung zu erschweren.

Europol-Direktorin Catherine De Bolle fasste die strategische Logik zusammen: “Criminals will continue to adapt quickly and evolve, and so must law enforcement.” Dass die Operation nach drei Phasen unvermindert weitergeht, zeigt, dass die Behörden diese Strategie konsequent verfolgen, auch wenn Kriminelle ihre Infrastruktur teilweise wiederaufbauen.

Deutschlands Rolle: BKA als Schlüsselakteur in allen Phasen

Deutschland und das Bundeskriminalamt nehmen in Operation Endgame eine zentrale Rolle ein. Das BKA initiierte das gemeinsame internationale Ermittlungsverfahren bereits im Jahr 2022 und ist seitdem koordinierendes Mitglied des Netzwerks. In Phase 1 (Mai 2024) wurden Server auf deutschem Territorium als Teil des Takedowns abgeschaltet. In Phase 3 (November 2025) führten deutsche Ermittler eine koordinierte Hausdurchsuchung im Rahmen der internationalen Aktion durch.

Die Beteiligung des BKA spiegelt eine breitere Strategie wider: Laut dem BKA-Cybercrime-Bericht 2025 verursacht Cyberkriminalität der deutschen Wirtschaft jährlich einen Schaden von über €202 Milliarden. Deutschland ist nach den USA, Indien und Japan das viertwichtigste Ziel von Cyberangriffen weltweit. Die Infrastruktur, die Operation Endgame zerstört hat, war direkt verantwortlich für Angriffe auf deutsche Unternehmen, Behörden und kritische Infrastruktur.

Die Verbindung zwischen den in Operation Endgame anvisierten Malware-Familien und Angriffen auf Deutschland ist konkret: Akira-Ransomware, die 1.400 Opfer weltweit gemacht hat, nutzte häufig IcedID und andere Loader als Eingangsvektor, die in Phase 1 zerstört wurden. Ähnlich verhält es sich mit Qilin, das unter anderem die Bundestagsfraktion Die Linke angriff und Loader aus dem Phase-2-Ökosystem nutzte.

Finanzielle Bilanz: €21,2 Millionen und 100.000 Krypto-Wallets

Operation Endgame hat nicht nur kriminelle Infrastruktur zerstört, sondern auch beträchtliche finanzielle Ressourcen der Täter eingezogen. Die nachfolgende Tabelle zeigt die kumulierten finanziellen Ergebnisse aller drei Phasen:

PhaseZeitraumServerDomainsBeschlagnahmte KryptoVerhaftungen
Phase 1 (Season 1)Mai 2024100+2.000+€69 Mio. (bei Hauptverdächtigem gefunden)4 (Armenien, Ukraine)
Phase 2 (Season 2)Mai 2025300650~€14,2 Mio. (kumuliert bis Phase 2)20 Haftbefehle ausgestellt
Phase 3 (Season 3)Nov. 20251.025+20€3,5 Mio. (diese Phase)1 (Griechenland)
Gesamt2024–20251.425+2.670+€21,2 Mio.+5 + 20 Haftbefehle

Besonders bemerkenswert ist die Dimension der beschlagnahmten Opferdaten: Der Hauptverdächtige hinter Rhadamanthys hatte Zugriff auf über 100.000 Krypto-Wallets von Opfern, potenziell im Wert von Millionen Euro. Das verdeutlicht ein Problem, das über die reine Malware-Infrastruktur hinausgeht: Cyberkriminelle schaffen es, immense Mengen sensibler Finanzdaten anzuhäufen, bevor Strafverfolgungsbehörden eingreifen können.

Der finanzielle Anreiz für die Betreiber von Infostealer-Malware ist enorm. Infostealers stahlen 2025 insgesamt 1,8 Milliarden Zugangsdaten weltweit, von denen Dienste wie Rhadamanthys einen erheblichen Anteil beigesteuert haben. Auf Underground-Marktplätzen wird ein einziger Satz kompromittierter Unternehmenszugangsdaten für $500 bis $5.000 verkauft.

Rhadamanthys: Der Infostealer, der 175 Länder betraf

Rhadamanthys ist einer der gefährlichsten Infostealers der letzten Jahre und das Ziel der Phase-3-Aktion. Seine Besonderheit liegt in seiner globalen Reichweite: Nach der Zerstörung der Infrastruktur versandte Shadowserver Benachrichtigungen an nationale CSIRTs in 175 Ländern und über 10.000 Netzwerkbetreiber weltweit. Diese Zahl verdeutlicht, wie tief die Malware in globale Netzwerke eingedrungen war.

Rhadamanthys, erstmals 2022 auf Underground-Foren angeboten, hat sich zu einem vollwertigen Infostealer-as-a-Service entwickelt. Das Tool stiehlt Browser-Passwörter, Session-Cookies, Krypto-Wallet-Daten, E-Mail-Zugangsdaten und VPN-Konfigurationen. Es wurde für professionelle Cyberkriminellen-Gruppen entwickelt, was an seinen regelmäßigen Updates, seiner technischen Raffinesse und seinem Abonnementpreismodell erkennbar ist.

Die Verbindung zur deutschen Bedrohungslage ist direkt: Laut dem ENISA-Ransomware-Bericht 2026 nutzen 81 % aller EU-Cyberangriffe gestohlene Zugangsdaten als Eingangsvektor. Infostealers wie Rhadamanthys liefern genau diese Zugangsdaten. Das Zerstören dieser Infrastruktur unterbricht damit nicht nur einzelne Angriffe, sondern die gesamte Ransomware-Lieferkette für europäische Ziele.

Wie Initial-Access-Malware die Ransomware-Kette antreibt

Um die Bedeutung von Operation Endgame zu verstehen, ist es wichtig zu begreifen, wie moderne Ransomware-Angriffe aufgebaut sind. Der Angriff beginnt typischerweise mit einem Initial-Access-Broker (IAB), der Loader-Malware wie IcedID oder Bumblebee verbreitet, oft über Phishing-E-Mails oder kompromittierte Websites. Der Loader dringt in ein System ein, stellt eine verschlüsselte Verbindung zu einem Command-and-Control-Server (C2) her und lädt weitere Schadsoftware nach.

In der nächsten Phase nutzen Cyberkriminelle Tools wie Cobalt Strike oder Metasploit, um sich lateral im Netzwerk zu bewegen, weitere Systeme zu kompromittieren und Administratorrechte zu erlangen. Erst dann wird die Ransomware aktiviert, die alle Dateien im Netzwerk verschlüsselt und ein Lösegeld fordert. Der gesamte Prozess kann von der ersten Infektion bis zur Ransomware-Aktivierung Stunden bis Wochen dauern.

Operation Endgame greift an einem entscheidenden Punkt an: indem die C2-Infrastruktur der Loader zerstört wird, verlieren Tausende von bereits infizierten Systemen ihre Verbindung zu den Angreifern. Die Loader werden nutzlos. Zwar kann die Malware auf infizierten Systemen verbleiben, aber ohne C2-Verbindung können die Angreifer keine weiteren Befehle senden, keine Ransomware nachladen und keinen Schaden anrichten. Das erklärt die Priorität, die Strafverfolgungsbehörden diesem Angriffsvektor beimessen.

Vergleich mit anderen Mega-Operationen: Avalanche, Ghost Click, Hive

Operation Endgame steht in einer langen Tradition großer internationaler Strafverfolgungsoperationen gegen Cyberkriminalität, übertrifft aber seine Vorgänger in mehrerer Hinsicht. Operation Avalanche (November 2016) zerstörte ein Bulletproof-Hosting-Netzwerk mit 800.000 Domains und 221 verdächtigen Servern. Die Europol-geführte Operation war damals eine der größten ihrer Art. Operation Ghost Click (November 2011) des FBI schloss die DNSChanger-Malware-Infrastruktur mit 6 Verhaftungen und war wegweisend für die Methodik von DNS-Sinkholes.

Operation Endgame übertrifft beide in Umfang und Konsequenz:

  • Endgame ist fortlaufend, nicht einmalig: drei Phasen über 18 Monate, mit angekündigter Fortsetzung
  • Endgame zielt auf multiple Malware-Familien gleichzeitig statt auf ein einzelnes Botnet
  • Endgame koordiniert 11 Nationen bei einem einzigen Schlag (Phase 3), Avalanche koordinierte 41 Länder über einen längeren Zeitraum
  • Die beschlagnahmten €21,2 Millionen übertreffen die meisten Vergleichsoperationen deutlich
  • Die Zerstörung von über 1.425 Servern in drei Phasen hat kein Äquivalent in früheren Operationen

Zum Vergleich: Die FBI-Operation gegen Hive Ransomware (2023) beendete eine einzelne Gruppe mit 300 Mitgliedern und verhinderte laut FBI Lösegeldzahlungen von über $130 Millionen. Operation Endgame ist breiter angelegt und trifft die Infrastruktur, die für Dutzende von Ransomware-Gruppen arbeitet, nicht nur eine einzelne Gruppe.

Kritische Infrastruktur als Hauptziel: Krankenhaus, Energie, Behörden

Die Malware-Familien, die Operation Endgame zerstört hat, hatten eine besondere Affinität zu kritischer Infrastruktur. Das Elysium-Botnet, eines der Ziele in Phase 3, war laut Analysen mit Angriffen auf kritische Infrastruktur, den Gesundheitssektor und Behörden verbunden. DanaBot, zerstört in Phase 2, wurde mehrfach bei Angriffen auf Krankenhäuser und Finanzinstitutionen identifiziert. TrickBot, ebenfalls Phase-2-Ziel, ist bekannt für seine Angriffe auf den US-Gesundheitssektor während der COVID-19-Pandemie.

Für Deutschland ist das besonders relevant. Krankenhäuser wurden in den letzten Jahren mehrfach von Ransomware getroffen, teils mit lebensgefährlichen Folgen. Das Universitätsklinikum Düsseldorf musste 2020 nach einem Ransomware-Angriff Notaufnahme-Patienten umleiten. Der Angriff auf den Landkreis Anhalt-Bitterfeld 2021 paralysierte die gesamte Verwaltung für Monate. Beide Fälle nutzten Malware-Loader als Eingangsvektor. Die Zerstörung dieser Loader-Infrastruktur durch Operation Endgame bietet direkte Schutzwirkung für deutsche Einrichtungen.

Das hacktivistische Bedrohungsbild für Deutschland zeigt, dass staatlich unterstützte und kriminelle Akteure zunehmend dieselbe Infrastruktur teilen. Initial-Access-Malware wird von ransomwaremotivierten Gruppen ebenso genutzt wie von staatlichen Akteuren für Spionage. Operation Endgame trifft also mehrere Bedrohungsebenen gleichzeitig.

Opfer-Benachrichtigung: Das Endgame-Portal und die Shadowserver-Kooperation

Ein einzigartiges Element von Operation Endgame ist das Opfer-Benachrichtigungssystem. Europol und seine Partner haben die Webseite operation-endgame.com eingerichtet, über die potenzielle Opfer prüfen können, ob ihre Systeme kompromittiert wurden. Über die Shadowserver Foundation wurden nach Phase 3 Benachrichtigungen an nationale CSIRTs in 175 Ländern und über 10.000 Netzwerk-Eigentümer versendet.

Diese Transparenz ist ungewöhnlich für Strafverfolgungsoperationen und markiert einen Paradigmenwechsel: Statt rein reaktiver Ermittlungen übernehmen Behörden zunehmend die Verantwortung, Opfer aktiv zu informieren und zu unterstützen. In Deutschland koordiniert das BSI (Bundesamt für Sicherheit in der Informationstechnik) die Weiterleitung solcher Benachrichtigungen an betroffene Unternehmen und Behörden.

Betroffene Organisationen erhalten damit frühzeitig Hinweise, dass ihre Systeme möglicherweise kompromittiert sind, auch wenn die Angreifer noch keine offensichtlichen Schäden verursacht haben. Das ermöglicht präventive Reaktionen, bevor der nächste Angriff erfolgt. Für Unternehmen, die im Rahmen von NIS2 oder dem EU Cyber Resilience Act meldepflichtig sind, ist diese Information besonders wertvoll.

Season 4 und die Zukunft von Operation Endgame: 5 Prognosen

Europol hat bestätigt, dass Operation Endgame eine fortlaufende Kampagne ist, die über die drei bisherigen Phasen hinaus weitergeführt wird. Die Ankündigung von “Season 3” im November 2025 impliziert die Planung weiterer Phasen. Auf Basis der bisherigen Entwicklungen und des Bedrohungsbildes lassen sich folgende Prognosen treffen:

  1. Season 4 im ersten Halbjahr 2026: Basierend auf dem 6-Monats-Rhythmus der bisherigen Operationen (Phasen im Mai 2024, Mai 2025 und November 2025) ist eine weitere Aktion bis Ende 2026 wahrscheinlich. Die anvisierten Ziele werden vermutlich wiederaufgebaute Infrastruktur der bereits getroffenen Gruppen sowie neue Bedrohungen wie Lumma Stealer oder BunnyLoader umfassen.
  2. Mehr Verhaftungen statt nur Takedowns: Die bisher geringe Verhaftungsrate, 4 in Phase 1, 0 in Phase 2 und 1 in Phase 3, wird sich erhöhen. Die ausgestellten 20 Haftbefehle aus Phase 2 könnten in den nächsten 12 Monaten zu Verhaftungen führen, wenn internationale Kooperationsabkommen greifen.
  3. Automatisierte Opfer-Benachrichtigung als Standard: Das Shadowserver-Benachrichtigungsmodell wird zum Standard für große Law-Enforcement-Operationen. Bis 2027 könnten automatisierte Systeme Opfer innerhalb von Stunden statt Tagen nach einem Takedown informieren.
  4. Kriminelle Gruppen migrieren zu resistenteren Architekturen: Cyberkriminelle werden stärker auf dezentrale, peer-to-peer-basierte C2-Infrastrukturen (ähnlich dem Emotet-Ansatz nach seiner Wiedergeburt 2021) und auf Kryptowährungen mit höherer Anonymität setzen, um Takedowns zu überleben.
  5. Integration von KI in Strafverfolgung und Kriminalität: Europol und BKA werden KI-gestützte Netzwerkanalyse einsetzen, um C2-Infrastruktur schneller zu identifizieren. Gleichzeitig werden kriminelle Gruppen KI nutzen, um Malware-Updates schneller auszuliefern und Sicherheitslösungen zu umgehen. Dieser Wettrüstung wird die nächsten Phasen von Operation Endgame prägen.

Was Unternehmen jetzt tun müssen

Der Erfolg von Operation Endgame bedeutet nicht, dass Unternehmen sich zurücklehnen können. Erstens: Viele der kompromittierten Systeme enthalten weiterhin Malware, die nach dem C2-Takedown inaktiv ist, aber bei einem Neuaufbau der Infrastruktur reaktiviert werden kann. Zweitens: Neue Malware-Familien, die nicht von Endgame getroffen wurden, bleiben aktiv. Drittens: Die Phase zwischen einem Takedown und dem Wiederaufbau der kriminellen Infrastruktur kann kurz sein.

Konkrete Maßnahmen, die Unternehmen unmittelbar ergreifen sollten:

  • Endpoint Detection and Response (EDR) aktivieren: EDR-Lösungen erkennen Loader-Malware wie IcedID, Bumblebee und Rhadamanthys durch Verhaltensanalyse, auch ohne bekannte Signaturen. In Deutschland haben laut BSI erst 35 % der KMU EDR-Lösungen implementiert.
  • Phishing-resistente Multi-Faktor-Authentifizierung (MFA): Loader-Malware zielt primär auf gestohlene Zugangsdaten ab. FIDO2/Passkey-basierte MFA macht gestohlene Passwörter wertlos. Infostealers wie Rhadamanthys können jedoch auch Session-Cookies stehlen, weshalb zustandslose Authentifizierung bevorzugt werden sollte.
  • Netzwerksegmentierung: Lateral Movement, der Weg von der initialen Infektion zur Ransomware-Aktivierung, wird durch strikte Netzwerksegmentierung erheblich verlangsamt oder verhindert. Eine Zero-Trust-Architektur limitiert den Schaden auch im Falle einer erfolgreichen Infektion.
  • Shadowserver-Benachrichtigungen abonnieren: Unternehmen können sich kostenlos für Shadowserver-Benachrichtigungen registrieren und erhalten automatisch Hinweise, wenn ihre IP-Adressen in Verbindung mit bekannten Malware-Infrastrukturen auftauchen. Für deutsche Unternehmen koordiniert das BSI-CERT diese Benachrichtigungen zusätzlich.
  • Incident Response Plan aktualisieren: Im Falle einer Infektion mit einem der in Operation Endgame anvisierten Loader müssen Unternehmen schnell handeln. Ein aktueller, getesteter Incident Response Plan, der gemäß NIS2-Anforderungen dokumentiert ist, ermöglicht eine schnellere Reaktion.

Verwandte Berichte

Weiterführende Analysen auf shattered.io

FAQ: Operation Endgame und Botnet-Takedowns

Was ist Operation Endgame genau?

Operation Endgame ist eine fortlaufende, multinationale Strafverfolgungsaktion unter Führung von Europol und Eurojust gegen Initial-Access-Malware, also Loader und Dropper, die als erste Stufe in Ransomware-Angriffen dienen. Das BKA initiierte das gemeinsame Ermittlungsverfahren 2022. Bisher wurden in drei Phasen (Mai 2024, Mai 2025, November 2025) über 1.425 Server abgeschaltet, 2.670+ Domains beschlagnahmt und €21,2 Millionen in Kryptowährung eingezogen.

Warum ist Phase 3 (November 2025) besonders bedeutsam?

Phase 3 ist die bislang größte Einzelaktion: 1.025+ Server wurden in einer koordinierten Aktion vom 10. bis 13. November 2025 abgeschaltet. Gleichzeitig wurde der Hauptverdächtige hinter VenomRAT in Griechenland verhaftet. Die betroffene Infrastruktur enthielt Hunderttausende infizierter Computer mit mehreren Millionen gestohlener Zugangsdaten und über 100.000 Krypto-Wallets der Opfer.

Welche Rolle spielt das BKA in Operation Endgame?

Das BKA ist ein zentraler Partner in allen Phasen. Das gemeinsame internationale Ermittlungsverfahren wurde 2022 vom BKA initiiert. In Phase 1 wurden Server auf deutschem Territorium abgeschaltet. In Phase 3 führten deutsche Ermittler eine Hausdurchsuchung im Rahmen der koordinierten internationalen Aktion durch. Das BKA arbeitet zusammen mit der Generalstaatsanwaltschaft Frankfurt am Main, Cybercrime-Stelle (ZIT).

Bin ich als Privatperson oder Unternehmen von der zerstörten Malware betroffen?

Möglicherweise ja. Die Infrastruktur hatte Hunderttausende Computer weltweit infiziert. Shadowserver hat Benachrichtigungen an CSIRTs in 175 Ländern und über 10.000 Netzbetreiber versandt. Prüfen Sie die Website operation-endgame.com für Informationen zu möglichen Infektionen. In Deutschland koordiniert das BSI-CERT die Weiterleitung von Infektionshinweisen an betroffene Organisationen.

Was ist der Unterschied zwischen Rhadamanthys, VenomRAT und Elysium?

Rhadamanthys ist ein Infostealer, der Browser-Passwörter, Session-Cookies und Krypto-Wallet-Daten stiehlt. VenomRAT ist ein Remote Access Trojaner (RAT), der Angreifern vollständige Fernkontrolle über infizierte Computer gibt. Es kostet $150/Monat als Malware-as-a-Service und ist ein Fork des Open-Source-Tools QuasarRAT. Elysium ist ein Botnet, das als Command-and-Control-Infrastruktur für kriminelle Operationen dient, besonders gegen kritische Infrastruktur und Behörden.

Wie viel Geld haben Europol und Partner in Operation Endgame beschlagnahmt?

Insgesamt wurden über alle Phasen von Operation Endgame mehr als €21,2 Millionen in Kryptowährung beschlagnahmt oder zur Einziehung identifiziert. Allein Phase 3 (November 2025) ergab €3,5 Millionen. Zusätzlich wurden bei einem Hauptverdächtigen in Phase 1 Kryptowährungen im Wert von €69 Millionen gefunden, die mit kriminellen Aktivitäten in Verbindung stehen.

Wird es eine Season 4 von Operation Endgame geben?

Europol hat die fortlaufende Natur der Operation bestätigt. Die Ankündigung von “Season 3” im November 2025 und die ausgestellten 20 Haftbefehle aus Phase 2 deuten auf weitere Phasen hin. Basierend auf dem bisherigen Rhythmus ist eine Season 4 in der ersten Hälfte von 2026 oder später 2026 wahrscheinlich. Neue Ziele könnten Lumma Stealer, BunnyLoader und andere aktive Malware-as-a-Service-Plattformen sein.

Was unterscheidet Operation Endgame von früheren Botnet-Takedowns?

Operation Endgame ist einzigartig in seiner Kombination aus Fortlaufendheit (drei Phasen über 18 Monate), Breite (14+ Malware-Familien aus mehreren Ökosystemen), Koordination (bis zu 11 Nationen gleichzeitig) und finanziellem Erfolg (€21,2 Millionen beschlagnahmt). Frühere Operationen wie Avalanche (2016) oder Ghost Click (2011) waren einmalige Aktionen. Operation Endgame setzt hingegen auf kontinuierlichen Druck gegen die sich reorganisierende kriminelle Infrastruktur. Europol nennt sie selbst “die größte jemals durchgeführte Operation gegen Botnets”.