{"id":210,"date":"2026-06-18T20:20:55","date_gmt":"2026-06-18T20:20:55","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/18\/operation-endgame-europol-bka-2026\/"},"modified":"2026-06-18T20:22:25","modified_gmt":"2026-06-18T20:22:25","slug":"operation-endgame-europol-bka-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/operation-endgame-europol-bka-2026\/","title":{"rendered":"Operation Endgame: 3 Phasen, 1.425+ Server, \u20ac21 Mio. [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">In drei koordinierten Schl\u00e4gen hat Europol zwischen Mai 2024 und November 2025 mehr als 1.425 Server demontiert, \u00fcber \u20ac21 Millionen in Kryptow\u00e4hrung beschlagnahmt und 14 der gef\u00e4hrlichsten Malware-Familien der Welt aus dem Verkehr gezogen. Operation Endgame, die bisher gr\u00f6\u00dfte internationale Strafverfolgungsaktion gegen Botnet-Infrastruktur, schreibt weiter Geschichte. Das Bundeskriminalamt (BKA) war in allen drei Phasen aktiv beteiligt. Dieser Bericht analysiert den Verlauf, die Ergebnisse und was als N\u00e4chstes kommt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-ist-operation-endgame\">Was ist Operation Endgame?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame ist eine fortlaufende, multinationale Strafverfolgungskampagne unter F\u00fchrung von Europol und Eurojust, die sich gegen sogenannte <strong>Initial-Access-Malware<\/strong> richtet. Diese Schadsoftware, oft als Dropper oder Loader bezeichnet, ist das erste Glied in der Ransomware-Lieferkette. Cyberkriminelle nutzen sie, um Zugang zu Unternehmensnetzwerken zu erlangen und dann Ransomware, Spyware oder andere Schadprogramme nachzuladen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Operation wurde 2022 vom BKA als gemeinsames internationales Ermittlungsverfahren initiiert und hat sich seitdem zu einer der bedeutendsten Strafverfolgungsaktionen im Bereich der Cyberkriminalit\u00e4t entwickelt. Europol beschreibt sie als <strong>&#8220;die gr\u00f6\u00dfte jemals durchgef\u00fchrte Operation gegen Botnets&#8221;<\/strong>. Kernstrategie: Anstatt einzelne T\u00e4ter zu jagen, wird die Infrastruktur zerst\u00f6rt, auf die Kriminelle angewiesen sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"phase-1-mai-2024-der-erste-grosse-schlag-gegen-icedid-smokeloader-und-bumblebee\">Phase 1 (Mai 2024): Der erste gro\u00dfe Schlag gegen IcedID, Smokeloader und Bumblebee<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Am 27. bis 30. Mai 2024 koordinierten Beh\u00f6rden aus den Niederlanden, Deutschland, Frankreich, D\u00e4nemark, den USA und Gro\u00dfbritannien, unterst\u00fctzt von Europol und Eurojust, den ersten massiven Schlag gegen Dropper-Malware-Infrastruktur. Das Ergebnis war beeindruckend: \u00dcber <strong>100 Server<\/strong> wurden abgeschaltet, mehr als <strong>2.000 Domains<\/strong> beschlagnahmt oder \u00fcbernommen, und \u00fcber <strong>10.000 infizierte Systeme<\/strong> konnten desinfiziert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Zielliste in Phase 1 umfasste einige der gef\u00e4hrlichsten Malware-Familien der Welt: <strong>IcedID<\/strong> (auch bekannt als BokBot), <strong>Smokeloader<\/strong>, <strong>SystemBC<\/strong>, <strong>Pikabot<\/strong> und <strong>Bumblebee<\/strong>. Diese Loader wurden bevorzugt genutzt, um Ransomware-Gruppen wie Akira, Conti-Nachfolger und Cl0p in Zielnetzwerke einzuschleusen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders spektakul\u00e4r war der finanzielle Aspekt der ersten Phase: Ermittler stellten fest, dass ein Hauptverd\u00e4chtiger <strong>\u20ac69 Millionen in Kryptow\u00e4hrung<\/strong> angeh\u00e4uft hatte, die mit den kriminellen Aktivit\u00e4ten in Verbindung standen. Beschlagnahmen wurden vorbereitet. Vier Verd\u00e4chtige wurden in Armenien und der Ukraine festgenommen. Das BKA war aktiv an der Koordination beteiligt, und Server auf deutschem Territorium wurden als Teil des Takedowns abgeschaltet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"phase-2-mai-2025-kriminelle-gruppen-bauen-wieder-auf-endgame-schlaegt-erneut-zu\">Phase 2 (Mai 2025): Kriminelle Gruppen bauen wieder auf, Endgame schl\u00e4gt erneut zu<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Jahr nach dem ersten Schlag war klar: Die Cyberkriminellen hatten ihre Infrastruktur teilweise neu aufgebaut. Europols Direktorin Catherine De Bolle kommentierte die Wiederherstellung mit den Worten: <strong>&#8220;These new phases demonstrate law enforcement&#8217;s ability to adapt and strike again, even as cybercriminals retool and reorganise.&#8221;<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In der zweiten Phase, die ebenfalls im Mai 2025 durchgef\u00fchrt wurde, richteten sich die Ermittler gegen <strong>neue Malware-Varianten und Nachfolgegruppen<\/strong>, die nach den Takedowns von 2024 entstanden waren. Die Ergebnisse: <strong>300 weitere Server<\/strong> abgeschaltet, <strong>650 Domains<\/strong> \u00fcbernommen und <strong>20 internationale Haftbefehle<\/strong> ausgestellt. Die anvisierten Malware-Familien dieser Phase waren: <strong>Bumblebee<\/strong> (erneut), <strong>Lactrodectus<\/strong>, <strong>Qakbot<\/strong> (ebenfalls erneut aktiv), <strong>HijackLoader<\/strong>, <strong>DanaBot<\/strong>, <strong>TrickBot<\/strong> und <strong>WARMCOOKIE<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Gesamtmenge beschlagnahmter Kryptow\u00e4hrungen stieg nach Phase 2 auf \u00fcber <strong>\u20ac17,7 Millionen<\/strong>. Catherine De Bolle bekr\u00e4ftigte die langfristige Ausrichtung der Operation: <strong>&#8220;By disrupting the services criminals rely on to deploy ransomware, we are breaking the kill chain at its source.&#8221;<\/strong> Die Botschaft war unmissverst\u00e4ndlich: Endgame ist kein einmaliger Schlag, sondern eine Dauerkampagne.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"phase-3-november-2025-1-025-server-zerstoert-venomrat-verdaechtiger-in-griechenland-verhaftet\">Phase 3 (November 2025): 1.025 Server zerst\u00f6rt, VenomRAT-Verd\u00e4chtiger in Griechenland verhaftet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Vom 10. bis 13. November 2025 f\u00fchrte Europol die bisher gr\u00f6\u00dfte Einzelaktion von Operation Endgame durch. In koordinierten Razzien in mehreren L\u00e4ndern wurden <strong>\u00fcber 1.025 Server weltweit abgeschaltet oder gest\u00f6rt<\/strong>. Die Zielsetzung dieser Phase 3, die Europol als Start von &#8220;Season 3&#8221; ank\u00fcndigte, war die Infrastruktur hinter drei besonders gef\u00e4hrlichen Bedrohungen: dem Infostealer <strong>Rhadamanthys<\/strong>, dem Remote-Access-Trojaner <strong>VenomRAT<\/strong> und dem <strong>Elysium-Botnet<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bereits am 3. November 2025, eine Woche vor Beginn der koordinierten Aktion, wurde der Hauptverd\u00e4chtige hinter VenomRAT in <strong>Griechenland verhaftet<\/strong>. Gleichzeitig f\u00fchrten Beh\u00f6rden in Deutschland, Griechenland und den Niederlanden Hausdurchsuchungen durch, darunter <strong>eine Razzia in Deutschland<\/strong>. Die Beschlagnahme von zus\u00e4tzlichen <strong>\u20ac3,5 Millionen in Kryptow\u00e4hrung<\/strong> brachte die Gesamtsumme aller beschlagnahmten Mittel aus Operation Endgame auf mehr als <strong>\u20ac21,2 Millionen<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Umfang der Phase-3-Opfer verdeutlicht das Ausma\u00df der Bedrohung: Die zerst\u00f6rte Infrastruktur hatte <strong>Hunderttausende von Computern weltweit<\/strong> infiziert und enthielt <strong>mehrere Millionen gestohlene Zugangsdaten<\/strong>. Der Hauptverd\u00e4chtige hinter dem Infostealer hatte Zugriff auf \u00fcber <strong>100.000 Krypto-Wallets<\/strong> der Opfer, potenziell im Wert von Millionen von Euro. Shadowserver versendete Benachrichtigungen an <strong>CSIRTs in 175 L\u00e4ndern<\/strong> und \u00fcber <strong>10.000 Netzbetreiber<\/strong> weltweit.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-malware-familien-im-ueberblick-von-icedid-bis-elysium\">Die Malware-Familien im \u00dcberblick: Von IcedID bis Elysium<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame hat in seinen drei Phasen einen breiten Querschnitt der gef\u00e4hrlichsten Malware-\u00d6kosysteme angegriffen. Jede Familie erf\u00fcllte eine spezifische Rolle in der cyberkriminellen Lieferkette. Die folgende Tabelle zeigt alle anvisierten Malware-Familien und ihre Eigenschaften:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Malware-Familie<\/th><th>Typ<\/th><th>Phase<\/th><th>Hauptfunktion<\/th><th>Ziel-Sektoren<\/th><\/tr><\/thead><tbody><tr><td><strong>IcedID (BokBot)<\/strong><\/td><td>Banking-Trojaner \/ Dropper<\/td><td>Phase 1 (2024)<\/td><td>Zugangsdaten stehlen, Ransomware laden<\/td><td>Finanzsektor, KMU<\/td><\/tr><tr><td><strong>Smokeloader<\/strong><\/td><td>Downloader \/ Backdoor<\/td><td>Phase 1 (2024)<\/td><td>Weitere Malware nachladen<\/td><td>Allgemein<\/td><\/tr><tr><td><strong>SystemBC<\/strong><\/td><td>Proxy-Malware \/ RAT<\/td><td>Phase 1 (2024)<\/td><td>Verschleierter C2-Kanal<\/td><td>Unternehmen, Beh\u00f6rden<\/td><\/tr><tr><td><strong>Pikabot<\/strong><\/td><td>Modular-Loader<\/td><td>Phase 1 (2024)<\/td><td>Ransomware-Bereitstellung<\/td><td>Finanz, Gesundheit<\/td><\/tr><tr><td><strong>Bumblebee<\/strong><\/td><td>Loader<\/td><td>Phase 1+2 (2024\/2025)<\/td><td>Cobalt Strike, Ransomware laden<\/td><td>Unternehmen<\/td><\/tr><tr><td><strong>Qakbot<\/strong><\/td><td>Banking-Trojaner<\/td><td>Phase 2 (2025)<\/td><td>Finanzdaten, Netzwerkzugang<\/td><td>Finanz, Gesundheit<\/td><\/tr><tr><td><strong>DanaBot<\/strong><\/td><td>Banking-Trojaner \/ MaaS<\/td><td>Phase 2 (2025)<\/td><td>Zugangsdaten, Betrugstransaktionen<\/td><td>Banken, Versicherungen<\/td><\/tr><tr><td><strong>TrickBot<\/strong><\/td><td>Modular-Trojaner<\/td><td>Phase 2 (2025)<\/td><td>Netzwerkerkundung, Ransomware-Vorbereitung<\/td><td>Unternehmen, KMU<\/td><\/tr><tr><td><strong>WARMCOOKIE<\/strong><\/td><td>Backdoor<\/td><td>Phase 2 (2025)<\/td><td>Persistenz, Datenexfiltration<\/td><td>Allgemein<\/td><\/tr><tr><td><strong>Rhadamanthys<\/strong><\/td><td>Infostealer<\/td><td>Phase 3 (2025)<\/td><td>Zugangsdaten, Krypto-Wallets stehlen<\/td><td>175 L\u00e4nder, alle Sektoren<\/td><\/tr><tr><td><strong>VenomRAT<\/strong><\/td><td>Remote Access Trojaner<\/td><td>Phase 3 (2025)<\/td><td>Fernzugriff, Datendiebstahl<\/td><td>Unternehmen, Beh\u00f6rden<\/td><\/tr><tr><td><strong>Elysium-Botnet<\/strong><\/td><td>Botnet<\/td><td>Phase 3 (2025)<\/td><td>C2-Infrastruktur, DDoS-Unterst\u00fctzung<\/td><td>Kritische Infrastruktur, Gesundheit, Beh\u00f6rden<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>VenomRAT<\/strong> ist besonders bemerkenswert: Das Tool, das f\u00fcr <strong>$150 pro Monat<\/strong> als Malware-as-a-Service angeboten wurde, ist ein modifizierter Fork von QuasarRAT und wird seit seiner ersten Entdeckung im <strong>Juni 2020<\/strong> weiterentwickelt. Es wird typischerweise \u00fcber manipulierte E-Mail-Anh\u00e4nge mit Office-Makros und PowerShell-Skripten verteilt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"11-nationen-im-einsatz-die-internationale-koalition-hinter-operation-endgame\">11 Nationen im Einsatz: Die internationale Koalition hinter Operation Endgame<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame ist das Ergebnis eines beispiellosen Ma\u00dfes an internationaler Strafverfolgungskooperation. F\u00fcr Phase 3 (November 2025) umfasste die Koalition <strong>11 L\u00e4nder<\/strong>: Australien, Belgien, Kanada, D\u00e4nemark, Frankreich, Deutschland, Griechenland, Litauen, Niederlande, Vereinigtes K\u00f6nigreich und die Vereinigten Staaten von Amerika. Koordiniert wurde die Aktion von Europol-Hauptquartier in Den Haag.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">US-Justizminister Matthew Galeotti unterstrich den politischen Willen der amerikanischen Seite: <strong>&#8220;Today&#8217;s announcement sends a clear message to the cybercrime community. We are determined to hold cybercriminals accountable and will use every legal tool at our disposal to identify you, charge you, forfeit your ill-gotten gains, and disrupt your criminal activity.&#8221;<\/strong> Die internationale Ausrichtung ist kein Zufall, denn Cyberkriminelle nutzen gezielt Server in verschiedenen L\u00e4ndern, um Strafverfolgung zu erschweren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Europol-Direktorin Catherine De Bolle fasste die strategische Logik zusammen: <strong>&#8220;Criminals will continue to adapt quickly and evolve, and so must law enforcement.&#8221;<\/strong> Dass die Operation nach drei Phasen unvermindert weitergeht, zeigt, dass die Beh\u00f6rden diese Strategie konsequent verfolgen, auch wenn Kriminelle ihre Infrastruktur teilweise wiederaufbauen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"deutschlands-rolle-bka-als-schluesselakteur-in-allen-phasen\">Deutschlands Rolle: BKA als Schl\u00fcsselakteur in allen Phasen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Deutschland und das Bundeskriminalamt nehmen in Operation Endgame eine zentrale Rolle ein. Das BKA initiierte das gemeinsame internationale Ermittlungsverfahren bereits im Jahr <strong>2022<\/strong> und ist seitdem koordinierendes Mitglied des Netzwerks. In Phase 1 (Mai 2024) wurden Server auf deutschem Territorium als Teil des Takedowns abgeschaltet. In Phase 3 (November 2025) f\u00fchrten deutsche Ermittler <strong>eine koordinierte Hausdurchsuchung<\/strong> im Rahmen der internationalen Aktion durch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Beteiligung des BKA spiegelt eine breitere Strategie wider: Laut dem <a href=\"\/bka-cybercrime-bericht-2025\/\">BKA-Cybercrime-Bericht 2025<\/a> verursacht Cyberkriminalit\u00e4t der deutschen Wirtschaft j\u00e4hrlich einen Schaden von \u00fcber <strong>\u20ac202 Milliarden<\/strong>. Deutschland ist nach den USA, Indien und Japan das viertwichtigste Ziel von Cyberangriffen weltweit. Die Infrastruktur, die Operation Endgame zerst\u00f6rt hat, war direkt verantwortlich f\u00fcr Angriffe auf deutsche Unternehmen, Beh\u00f6rden und kritische Infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verbindung zwischen den in Operation Endgame anvisierten Malware-Familien und Angriffen auf Deutschland ist konkret: <strong>Akira-Ransomware<\/strong>, die <a href=\"\/akira-ransomware-deutschland-2026\/\">1.400 Opfer weltweit gemacht hat<\/a>, nutzte h\u00e4ufig IcedID und andere Loader als Eingangsvektor, die in Phase 1 zerst\u00f6rt wurden. \u00c4hnlich verh\u00e4lt es sich mit <a href=\"\/qilin-ransomware-deutschland-2026\/\">Qilin<\/a>, das unter anderem die Bundestagsfraktion Die Linke angriff und Loader aus dem Phase-2-\u00d6kosystem nutzte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"finanzielle-bilanz-e212-millionen-und-100-000-krypto-wallets\">Finanzielle Bilanz: \u20ac21,2 Millionen und 100.000 Krypto-Wallets<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame hat nicht nur kriminelle Infrastruktur zerst\u00f6rt, sondern auch betr\u00e4chtliche finanzielle Ressourcen der T\u00e4ter eingezogen. Die nachfolgende Tabelle zeigt die kumulierten finanziellen Ergebnisse aller drei Phasen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Phase<\/th><th>Zeitraum<\/th><th>Server<\/th><th>Domains<\/th><th>Beschlagnahmte Krypto<\/th><th>Verhaftungen<\/th><\/tr><\/thead><tbody><tr><td><strong>Phase 1 (Season 1)<\/strong><\/td><td>Mai 2024<\/td><td>100+<\/td><td>2.000+<\/td><td>\u20ac69 Mio. (bei Hauptverd\u00e4chtigem gefunden)<\/td><td>4 (Armenien, Ukraine)<\/td><\/tr><tr><td><strong>Phase 2 (Season 2)<\/strong><\/td><td>Mai 2025<\/td><td>300<\/td><td>650<\/td><td>~\u20ac14,2 Mio. (kumuliert bis Phase 2)<\/td><td>20 Haftbefehle ausgestellt<\/td><\/tr><tr><td><strong>Phase 3 (Season 3)<\/strong><\/td><td>Nov. 2025<\/td><td>1.025+<\/td><td>20<\/td><td>\u20ac3,5 Mio. (diese Phase)<\/td><td>1 (Griechenland)<\/td><\/tr><tr><td><strong>Gesamt<\/strong><\/td><td>2024\u20132025<\/td><td><strong>1.425+<\/strong><\/td><td><strong>2.670+<\/strong><\/td><td><strong>\u20ac21,2 Mio.+<\/strong><\/td><td><strong>5 + 20 Haftbefehle<\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders bemerkenswert ist die Dimension der beschlagnahmten Opferdaten: Der Hauptverd\u00e4chtige hinter Rhadamanthys hatte Zugriff auf \u00fcber <strong>100.000 Krypto-Wallets<\/strong> von Opfern, potenziell im Wert von Millionen Euro. Das verdeutlicht ein Problem, das \u00fcber die reine Malware-Infrastruktur hinausgeht: Cyberkriminelle schaffen es, immense Mengen sensibler Finanzdaten anzuh\u00e4ufen, bevor Strafverfolgungsbeh\u00f6rden eingreifen k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der finanzielle Anreiz f\u00fcr die Betreiber von Infostealer-Malware ist enorm. <a href=\"\/infostealer-malware-1-8b-credentials\/\">Infostealers stahlen 2025 insgesamt 1,8 Milliarden Zugangsdaten<\/a> weltweit, von denen Dienste wie Rhadamanthys einen erheblichen Anteil beigesteuert haben. Auf Underground-Marktpl\u00e4tzen wird ein einziger Satz kompromittierter Unternehmenszugangsdaten f\u00fcr $500 bis $5.000 verkauft.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"rhadamanthys-der-infostealer-der-175-laender-betraf\">Rhadamanthys: Der Infostealer, der 175 L\u00e4nder betraf<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Rhadamanthys ist einer der gef\u00e4hrlichsten Infostealers der letzten Jahre und das Ziel der Phase-3-Aktion. Seine Besonderheit liegt in seiner globalen Reichweite: Nach der Zerst\u00f6rung der Infrastruktur versandte Shadowserver Benachrichtigungen an <strong>nationale CSIRTs in 175 L\u00e4ndern<\/strong> und \u00fcber <strong>10.000 Netzwerkbetreiber<\/strong> weltweit. Diese Zahl verdeutlicht, wie tief die Malware in globale Netzwerke eingedrungen war.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Rhadamanthys, erstmals 2022 auf Underground-Foren angeboten, hat sich zu einem vollwertigen Infostealer-as-a-Service entwickelt. Das Tool stiehlt Browser-Passw\u00f6rter, Session-Cookies, Krypto-Wallet-Daten, E-Mail-Zugangsdaten und VPN-Konfigurationen. Es wurde f\u00fcr professionelle Cyberkriminellen-Gruppen entwickelt, was an seinen regelm\u00e4\u00dfigen Updates, seiner technischen Raffinesse und seinem Abonnementpreismodell erkennbar ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verbindung zur deutschen Bedrohungslage ist direkt: Laut dem <a href=\"\/enisa-ransomware-bedrohungslage-2026\/\">ENISA-Ransomware-Bericht 2026<\/a> nutzen 81 % aller EU-Cyberangriffe gestohlene Zugangsdaten als Eingangsvektor. Infostealers wie Rhadamanthys liefern genau diese Zugangsdaten. Das Zerst\u00f6ren dieser Infrastruktur unterbricht damit nicht nur einzelne Angriffe, sondern die gesamte Ransomware-Lieferkette f\u00fcr europ\u00e4ische Ziele.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wie-initial-access-malware-die-ransomware-kette-antreibt\">Wie Initial-Access-Malware die Ransomware-Kette antreibt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um die Bedeutung von Operation Endgame zu verstehen, ist es wichtig zu begreifen, wie moderne Ransomware-Angriffe aufgebaut sind. Der Angriff beginnt typischerweise mit einem <strong>Initial-Access-Broker<\/strong> (IAB), der Loader-Malware wie IcedID oder Bumblebee verbreitet, oft \u00fcber Phishing-E-Mails oder kompromittierte Websites. Der Loader dringt in ein System ein, stellt eine verschl\u00fcsselte Verbindung zu einem Command-and-Control-Server (C2) her und l\u00e4dt weitere Schadsoftware nach.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In der n\u00e4chsten Phase nutzen Cyberkriminelle Tools wie Cobalt Strike oder Metasploit, um sich lateral im Netzwerk zu bewegen, weitere Systeme zu kompromittieren und Administratorrechte zu erlangen. Erst dann wird die Ransomware aktiviert, die alle Dateien im Netzwerk verschl\u00fcsselt und ein L\u00f6segeld fordert. Der gesamte Prozess kann von der ersten Infektion bis zur Ransomware-Aktivierung <strong>Stunden bis Wochen<\/strong> dauern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame greift an einem entscheidenden Punkt an: indem die C2-Infrastruktur der Loader zerst\u00f6rt wird, verlieren Tausende von bereits infizierten Systemen ihre Verbindung zu den Angreifern. Die Loader werden nutzlos. Zwar kann die Malware auf infizierten Systemen verbleiben, aber ohne C2-Verbindung k\u00f6nnen die Angreifer keine weiteren Befehle senden, keine Ransomware nachladen und keinen Schaden anrichten. Das erkl\u00e4rt die Priorit\u00e4t, die Strafverfolgungsbeh\u00f6rden diesem Angriffsvektor beimessen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"vergleich-mit-anderen-mega-operationen-avalanche-ghost-click-hive\">Vergleich mit anderen Mega-Operationen: Avalanche, Ghost Click, Hive<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame steht in einer langen Tradition gro\u00dfer internationaler Strafverfolgungsoperationen gegen Cyberkriminalit\u00e4t, \u00fcbertrifft aber seine Vorg\u00e4nger in mehrerer Hinsicht. <strong>Operation Avalanche<\/strong> (November 2016) zerst\u00f6rte ein Bulletproof-Hosting-Netzwerk mit 800.000 Domains und 221 verd\u00e4chtigen Servern. Die Europol-gef\u00fchrte Operation war damals eine der gr\u00f6\u00dften ihrer Art. <strong>Operation Ghost Click<\/strong> (November 2011) des FBI schloss die DNSChanger-Malware-Infrastruktur mit 6 Verhaftungen und war wegweisend f\u00fcr die Methodik von DNS-Sinkholes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame \u00fcbertrifft beide in Umfang und Konsequenz:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Endgame ist <strong>fortlaufend<\/strong>, nicht einmalig: drei Phasen \u00fcber 18 Monate, mit angek\u00fcndigter Fortsetzung<\/li><li>Endgame zielt auf <strong>multiple Malware-Familien<\/strong> gleichzeitig statt auf ein einzelnes Botnet<\/li><li>Endgame koordiniert <strong>11 Nationen<\/strong> bei einem einzigen Schlag (Phase 3), Avalanche koordinierte 41 L\u00e4nder \u00fcber einen l\u00e4ngeren Zeitraum<\/li><li>Die beschlagnahmten <strong>\u20ac21,2 Millionen<\/strong> \u00fcbertreffen die meisten Vergleichsoperationen deutlich<\/li><li>Die Zerst\u00f6rung von \u00fcber <strong>1.425 Servern<\/strong> in drei Phasen hat kein \u00c4quivalent in fr\u00fcheren Operationen<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Vergleich: Die FBI-Operation gegen Hive Ransomware (2023) beendete eine einzelne Gruppe mit 300 Mitgliedern und verhinderte laut FBI L\u00f6segeldzahlungen von \u00fcber $130 Millionen. Operation Endgame ist breiter angelegt und trifft die <strong>Infrastruktur<\/strong>, die f\u00fcr Dutzende von Ransomware-Gruppen arbeitet, nicht nur eine einzelne Gruppe.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"kritische-infrastruktur-als-hauptziel-krankenhaus-energie-behoerden\">Kritische Infrastruktur als Hauptziel: Krankenhaus, Energie, Beh\u00f6rden<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Malware-Familien, die Operation Endgame zerst\u00f6rt hat, hatten eine besondere Affinit\u00e4t zu kritischer Infrastruktur. Das Elysium-Botnet, eines der Ziele in Phase 3, war laut Analysen mit Angriffen auf <strong>kritische Infrastruktur, den Gesundheitssektor und Beh\u00f6rden<\/strong> verbunden. DanaBot, zerst\u00f6rt in Phase 2, wurde mehrfach bei Angriffen auf Krankenh\u00e4user und Finanzinstitutionen identifiziert. TrickBot, ebenfalls Phase-2-Ziel, ist bekannt f\u00fcr seine Angriffe auf den US-Gesundheitssektor w\u00e4hrend der COVID-19-Pandemie.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Deutschland ist das besonders relevant. Krankenh\u00e4user wurden in den letzten Jahren mehrfach von Ransomware getroffen, teils mit lebensgef\u00e4hrlichen Folgen. Das Universit\u00e4tsklinikum D\u00fcsseldorf musste 2020 nach einem Ransomware-Angriff Notaufnahme-Patienten umleiten. Der Angriff auf den Landkreis Anhalt-Bitterfeld 2021 paralysierte die gesamte Verwaltung f\u00fcr Monate. Beide F\u00e4lle nutzten Malware-Loader als Eingangsvektor. Die Zerst\u00f6rung dieser Loader-Infrastruktur durch Operation Endgame bietet direkte Schutzwirkung f\u00fcr deutsche Einrichtungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das <a href=\"\/noname057-ddos-deutschland-2026\/\">hacktivistische Bedrohungsbild f\u00fcr Deutschland<\/a> zeigt, dass staatlich unterst\u00fctzte und kriminelle Akteure zunehmend dieselbe Infrastruktur teilen. Initial-Access-Malware wird von ransomwaremotivierten Gruppen ebenso genutzt wie von staatlichen Akteuren f\u00fcr Spionage. Operation Endgame trifft also mehrere Bedrohungsebenen gleichzeitig.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"opfer-benachrichtigung-das-endgame-portal-und-die-shadowserver-kooperation\">Opfer-Benachrichtigung: Das Endgame-Portal und die Shadowserver-Kooperation<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein einzigartiges Element von Operation Endgame ist das Opfer-Benachrichtigungssystem. Europol und seine Partner haben die Webseite <a href=\"https:\/\/operation-endgame.com\" target=\"_blank\" rel=\"noreferrer noopener\">operation-endgame.com<\/a> eingerichtet, \u00fcber die potenzielle Opfer pr\u00fcfen k\u00f6nnen, ob ihre Systeme kompromittiert wurden. \u00dcber die Shadowserver Foundation wurden nach Phase 3 Benachrichtigungen an nationale CSIRTs in <strong>175 L\u00e4ndern<\/strong> und \u00fcber <strong>10.000 Netzwerk-Eigent\u00fcmer<\/strong> versendet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Transparenz ist ungew\u00f6hnlich f\u00fcr Strafverfolgungsoperationen und markiert einen Paradigmenwechsel: Statt rein reaktiver Ermittlungen \u00fcbernehmen Beh\u00f6rden zunehmend die Verantwortung, Opfer aktiv zu informieren und zu unterst\u00fctzen. In Deutschland koordiniert das BSI (<a href=\"https:\/\/www.bsi.bund.de\" target=\"_blank\" rel=\"noreferrer noopener\">Bundesamt f\u00fcr Sicherheit in der Informationstechnik<\/a>) die Weiterleitung solcher Benachrichtigungen an betroffene Unternehmen und Beh\u00f6rden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Betroffene Organisationen erhalten damit fr\u00fchzeitig Hinweise, dass ihre Systeme m\u00f6glicherweise kompromittiert sind, auch wenn die Angreifer noch keine offensichtlichen Sch\u00e4den verursacht haben. Das erm\u00f6glicht pr\u00e4ventive Reaktionen, bevor der n\u00e4chste Angriff erfolgt. F\u00fcr Unternehmen, die im Rahmen von <a href=\"\/eu-cyber-resilience-act-2026\/\">NIS2 oder dem EU Cyber Resilience Act<\/a> meldepflichtig sind, ist diese Information besonders wertvoll.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"season-4-und-die-zukunft-von-operation-endgame-5-prognosen\">Season 4 und die Zukunft von Operation Endgame: 5 Prognosen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Europol hat best\u00e4tigt, dass Operation Endgame eine fortlaufende Kampagne ist, die \u00fcber die drei bisherigen Phasen hinaus weitergef\u00fchrt wird. Die Ank\u00fcndigung von &#8220;Season 3&#8221; im November 2025 impliziert die Planung weiterer Phasen. Auf Basis der bisherigen Entwicklungen und des Bedrohungsbildes lassen sich folgende Prognosen treffen:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Season 4 im ersten Halbjahr 2026:<\/strong> Basierend auf dem 6-Monats-Rhythmus der bisherigen Operationen (Phasen im Mai 2024, Mai 2025 und November 2025) ist eine weitere Aktion bis Ende 2026 wahrscheinlich. Die anvisierten Ziele werden vermutlich wiederaufgebaute Infrastruktur der bereits getroffenen Gruppen sowie neue Bedrohungen wie Lumma Stealer oder BunnyLoader umfassen.<\/li><li><strong>Mehr Verhaftungen statt nur Takedowns:<\/strong> Die bisher geringe Verhaftungsrate, 4 in Phase 1, 0 in Phase 2 und 1 in Phase 3, wird sich erh\u00f6hen. Die ausgestellten 20 Haftbefehle aus Phase 2 k\u00f6nnten in den n\u00e4chsten 12 Monaten zu Verhaftungen f\u00fchren, wenn internationale Kooperationsabkommen greifen.<\/li><li><strong>Automatisierte Opfer-Benachrichtigung als Standard:<\/strong> Das Shadowserver-Benachrichtigungsmodell wird zum Standard f\u00fcr gro\u00dfe Law-Enforcement-Operationen. Bis 2027 k\u00f6nnten automatisierte Systeme Opfer innerhalb von Stunden statt Tagen nach einem Takedown informieren.<\/li><li><strong>Kriminelle Gruppen migrieren zu resistenteren Architekturen:<\/strong> Cyberkriminelle werden st\u00e4rker auf dezentrale, peer-to-peer-basierte C2-Infrastrukturen (\u00e4hnlich dem Emotet-Ansatz nach seiner Wiedergeburt 2021) und auf Kryptow\u00e4hrungen mit h\u00f6herer Anonymit\u00e4t setzen, um Takedowns zu \u00fcberleben.<\/li><li><strong>Integration von KI in Strafverfolgung und Kriminalit\u00e4t:<\/strong> Europol und BKA werden KI-gest\u00fctzte Netzwerkanalyse einsetzen, um C2-Infrastruktur schneller zu identifizieren. Gleichzeitig werden kriminelle Gruppen KI nutzen, um Malware-Updates schneller auszuliefern und Sicherheitsl\u00f6sungen zu umgehen. Dieser Wettr\u00fcstung wird die n\u00e4chsten Phasen von Operation Endgame pr\u00e4gen.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-unternehmen-jetzt-tun-muessen\">Was Unternehmen jetzt tun m\u00fcssen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Erfolg von Operation Endgame bedeutet nicht, dass Unternehmen sich zur\u00fccklehnen k\u00f6nnen. Erstens: Viele der kompromittierten Systeme enthalten weiterhin Malware, die nach dem C2-Takedown inaktiv ist, aber bei einem Neuaufbau der Infrastruktur reaktiviert werden kann. Zweitens: Neue Malware-Familien, die nicht von Endgame getroffen wurden, bleiben aktiv. Drittens: Die Phase zwischen einem Takedown und dem Wiederaufbau der kriminellen Infrastruktur kann kurz sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Konkrete Ma\u00dfnahmen, die Unternehmen unmittelbar ergreifen sollten:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Endpoint Detection and Response (EDR) aktivieren:<\/strong> EDR-L\u00f6sungen erkennen Loader-Malware wie IcedID, Bumblebee und Rhadamanthys durch Verhaltensanalyse, auch ohne bekannte Signaturen. In Deutschland haben laut BSI erst 35 % der KMU EDR-L\u00f6sungen implementiert.<\/li><li><strong>Phishing-resistente Multi-Faktor-Authentifizierung (MFA):<\/strong> Loader-Malware zielt prim\u00e4r auf gestohlene Zugangsdaten ab. FIDO2\/Passkey-basierte MFA macht gestohlene Passw\u00f6rter wertlos. Infostealers wie Rhadamanthys k\u00f6nnen jedoch auch Session-Cookies stehlen, weshalb zustandslose Authentifizierung bevorzugt werden sollte.<\/li><li><strong>Netzwerksegmentierung:<\/strong> Lateral Movement, der Weg von der initialen Infektion zur Ransomware-Aktivierung, wird durch strikte Netzwerksegmentierung erheblich verlangsamt oder verhindert. Eine Zero-Trust-Architektur limitiert den Schaden auch im Falle einer erfolgreichen Infektion.<\/li><li><strong>Shadowserver-Benachrichtigungen abonnieren:<\/strong> Unternehmen k\u00f6nnen sich kostenlos f\u00fcr Shadowserver-Benachrichtigungen registrieren und erhalten automatisch Hinweise, wenn ihre IP-Adressen in Verbindung mit bekannten Malware-Infrastrukturen auftauchen. F\u00fcr deutsche Unternehmen koordiniert das BSI-CERT diese Benachrichtigungen zus\u00e4tzlich.<\/li><li><strong>Incident Response Plan aktualisieren:<\/strong> Im Falle einer Infektion mit einem der in Operation Endgame anvisierten Loader m\u00fcssen Unternehmen schnell handeln. Ein aktueller, getesteter Incident Response Plan, der gem\u00e4\u00df <a href=\"\/eu-cyber-resilience-act-2026\/\">NIS2-Anforderungen<\/a> dokumentiert ist, erm\u00f6glicht eine schnellere Reaktion.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-berichte\">Verwandte Berichte<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"weiterfuehrende-analysen-auf-shattered-io\">Weiterf\u00fchrende Analysen auf shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/bka-cybercrime-bericht-2025\/\">BKA 2025: 333.922 Cyberf\u00e4lle, \u20ac202 Mrd. Schaden \u2013 Deutschlands Cyberkriminalit\u00e4tslage<\/a><\/li><li><a href=\"\/enisa-ransomware-bedrohungslage-2026\/\">Ransomware: 81 % aller EU-Cyberangriffe \u2013 ENISA-Analyse 2026<\/a><\/li><li><a href=\"\/akira-ransomware-deutschland-2026\/\">Akira Ransomware: 1.400 Opfer, 244 Mio. $ \u2013 Die Bedrohung f\u00fcr Deutschland<\/a><\/li><li><a href=\"\/qilin-ransomware-deutschland-2026\/\">Qilin Ransomware: 500+ Opfer, Angriff auf Die Linke \u2013 Analyse 2026<\/a><\/li><li><a href=\"\/revil-gandcrab-bka-enttarnt-2026\/\">REvil enttarnt: 130 Angriffe, 35 Mio. \u20ac \u2013 BKA-Ermittlungserfolg<\/a><\/li><li><a href=\"\/noname057-ddos-deutschland-2026\/\">NoName057(16): 14 DDoS-Wellen gegen Deutschland \u2013 Hacktivismus 2026<\/a><\/li><li><a href=\"\/dach-cyberangriffe-2026-deutschland\/\">DACH: Cyberangriffe um 124 % gestiegen \u2013 82 % treffen Deutschland<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-operation-endgame-und-botnet-takedowns\">FAQ: Operation Endgame und Botnet-Takedowns<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-operation-endgame-genau\">Was ist Operation Endgame genau?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame ist eine fortlaufende, multinationale Strafverfolgungsaktion unter F\u00fchrung von Europol und Eurojust gegen Initial-Access-Malware, also Loader und Dropper, die als erste Stufe in Ransomware-Angriffen dienen. Das BKA initiierte das gemeinsame Ermittlungsverfahren 2022. Bisher wurden in drei Phasen (Mai 2024, Mai 2025, November 2025) \u00fcber 1.425 Server abgeschaltet, 2.670+ Domains beschlagnahmt und \u20ac21,2 Millionen in Kryptow\u00e4hrung eingezogen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"warum-ist-phase-3-november-2025-besonders-bedeutsam\">Warum ist Phase 3 (November 2025) besonders bedeutsam?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Phase 3 ist die bislang gr\u00f6\u00dfte Einzelaktion: 1.025+ Server wurden in einer koordinierten Aktion vom 10. bis 13. November 2025 abgeschaltet. Gleichzeitig wurde der Hauptverd\u00e4chtige hinter VenomRAT in Griechenland verhaftet. Die betroffene Infrastruktur enthielt Hunderttausende infizierter Computer mit mehreren Millionen gestohlener Zugangsdaten und \u00fcber 100.000 Krypto-Wallets der Opfer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-rolle-spielt-das-bka-in-operation-endgame\">Welche Rolle spielt das BKA in Operation Endgame?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das BKA ist ein zentraler Partner in allen Phasen. Das gemeinsame internationale Ermittlungsverfahren wurde 2022 vom BKA initiiert. In Phase 1 wurden Server auf deutschem Territorium abgeschaltet. In Phase 3 f\u00fchrten deutsche Ermittler eine Hausdurchsuchung im Rahmen der koordinierten internationalen Aktion durch. Das BKA arbeitet zusammen mit der Generalstaatsanwaltschaft Frankfurt am Main, Cybercrime-Stelle (ZIT).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"bin-ich-als-privatperson-oder-unternehmen-von-der-zerstoerten-malware-betroffen\">Bin ich als Privatperson oder Unternehmen von der zerst\u00f6rten Malware betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">M\u00f6glicherweise ja. Die Infrastruktur hatte Hunderttausende Computer weltweit infiziert. Shadowserver hat Benachrichtigungen an CSIRTs in 175 L\u00e4ndern und \u00fcber 10.000 Netzbetreiber versandt. Pr\u00fcfen Sie die Website <a href=\"https:\/\/operation-endgame.com\" target=\"_blank\" rel=\"noreferrer noopener\">operation-endgame.com<\/a> f\u00fcr Informationen zu m\u00f6glichen Infektionen. In Deutschland koordiniert das BSI-CERT die Weiterleitung von Infektionshinweisen an betroffene Organisationen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-der-unterschied-zwischen-rhadamanthys-venomrat-und-elysium\">Was ist der Unterschied zwischen Rhadamanthys, VenomRAT und Elysium?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Rhadamanthys ist ein <strong>Infostealer<\/strong>, der Browser-Passw\u00f6rter, Session-Cookies und Krypto-Wallet-Daten stiehlt. VenomRAT ist ein <strong>Remote Access Trojaner<\/strong> (RAT), der Angreifern vollst\u00e4ndige Fernkontrolle \u00fcber infizierte Computer gibt. Es kostet $150\/Monat als Malware-as-a-Service und ist ein Fork des Open-Source-Tools QuasarRAT. Elysium ist ein <strong>Botnet<\/strong>, das als Command-and-Control-Infrastruktur f\u00fcr kriminelle Operationen dient, besonders gegen kritische Infrastruktur und Beh\u00f6rden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-viel-geld-haben-europol-und-partner-in-operation-endgame-beschlagnahmt\">Wie viel Geld haben Europol und Partner in Operation Endgame beschlagnahmt?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Insgesamt wurden \u00fcber alle Phasen von Operation Endgame mehr als <strong>\u20ac21,2 Millionen in Kryptow\u00e4hrung<\/strong> beschlagnahmt oder zur Einziehung identifiziert. Allein Phase 3 (November 2025) ergab \u20ac3,5 Millionen. Zus\u00e4tzlich wurden bei einem Hauptverd\u00e4chtigen in Phase 1 Kryptow\u00e4hrungen im Wert von \u20ac69 Millionen gefunden, die mit kriminellen Aktivit\u00e4ten in Verbindung stehen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wird-es-eine-season-4-von-operation-endgame-geben\">Wird es eine Season 4 von Operation Endgame geben?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Europol hat die fortlaufende Natur der Operation best\u00e4tigt. Die Ank\u00fcndigung von &#8220;Season 3&#8221; im November 2025 und die ausgestellten 20 Haftbefehle aus Phase 2 deuten auf weitere Phasen hin. Basierend auf dem bisherigen Rhythmus ist eine Season 4 in der ersten H\u00e4lfte von 2026 oder sp\u00e4ter 2026 wahrscheinlich. Neue Ziele k\u00f6nnten Lumma Stealer, BunnyLoader und andere aktive Malware-as-a-Service-Plattformen sein.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-unterscheidet-operation-endgame-von-frueheren-botnet-takedowns\">Was unterscheidet Operation Endgame von fr\u00fcheren Botnet-Takedowns?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Operation Endgame ist einzigartig in seiner Kombination aus Fortlaufendheit (drei Phasen \u00fcber 18 Monate), Breite (14+ Malware-Familien aus mehreren \u00d6kosystemen), Koordination (bis zu 11 Nationen gleichzeitig) und finanziellem Erfolg (\u20ac21,2 Millionen beschlagnahmt). Fr\u00fchere Operationen wie Avalanche (2016) oder Ghost Click (2011) waren einmalige Aktionen. Operation Endgame setzt hingegen auf kontinuierlichen Druck gegen die sich reorganisierende kriminelle Infrastruktur.  Europol nennt sie selbst &#8220;die gr\u00f6\u00dfte jemals durchgef\u00fchrte Operation gegen Botnets&#8221;.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In drei koordinierten Schl\u00e4gen hat Europol zwischen Mai 2024 und November 2025 mehr als 1.425 Server demontiert, \u00fcber \u20ac21 Millionen in Kryptow\u00e4hrung beschlagnahmt und 14 der gef\u00e4hrlichsten Malware-Familien der Welt\u2026<\/p>\n","protected":false},"author":2,"featured_media":211,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-210","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=210"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/210\/revisions"}],"predecessor-version":[{"id":212,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/210\/revisions\/212"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/211"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}