27 Millionen Zugangsdaten sichergestellt: Microsoft und EU-Behörden zerschlagen Malware-Infrastruktur

Published: 25. Juni 2026
bka europol microsoft

Ermittlungsbehörden haben drei der beliebtesten Malware-Tools der Cyberkriminellen-Szene zerschlagen, die für Ransomware-Angriffe eingesetzt wurden. Im Zuge der Aktion wurden 27 Millionen gestohlene Passwörter sichergestellt.

Zentrale Fakten:
  • Die internationale Operation Endgame hat die Netzwerke der Malware-Familien SocGholish, StealC und Amadey zerschlagen und damit eine der wichtigsten Quellen für Ransomware-Angriffe und andere Cyberstraftaten ausgehoben.
  • Die Behörden stellten 27 Millionen gestohlene Zugangsdaten von mehr als 385.000 Betroffenen weltweit sicher. Zudem wurden Kryptowährungen im Wert von 47 Millionen US-Dollar identifiziert, die mit kriminellen Aktivitäten in Verbindung stehen.
  • Die Ermittler schalteten rund 15.000 bösartige Websites, über 320 Server und 140 Domains ab, die zur Unterstützung weltweiter Cyberkriminalität dienten.
  • An der Operation waren Strafverfolgungsbehörden aus sechs Ländern sowie Branchenpartner wie Microsoft beteiligt. Ziel war es, Cybercrime-as-a-Service-Tools zu treffen, mit denen Angreifer sich ersten Zugang zu Systemen ihrer Opfer verschaffen.

Eine internationale Strafverfolgungsoperation hat drei der weltweit am häufigsten genutzten Malware-Familien zerschlagen und damit einen zentralen Baustein des Cyberkriminalitäts-Ökosystems getroffen, das Ransomware-Angriffe erst ermöglicht.

ADVERTISEMENT

Nach Angaben des Bundeskriminalamts (BKA) haben die Ermittler rund 15.000 bösartige Websites, mehr als 320 Server und 140 Domains deaktiviert, die zur kriminellen Infrastruktur gehörten.

Die Behörden stellten rund 27 Millionen Zugangsdaten sicher, die mehr als 385.000 Opfern weltweit gehören. Im Zuge der Operation identifizierten die Ermittler zudem Kryptowährungen im Wert von 47 Millionen US-Dollar. Diese Gelder stehen nach derzeitigem Ermittlungsstand mit kriminellen Aktivitäten in Verbindung und sind Gegenstand laufender Untersuchungen.

An der Operation waren Behörden aus Deutschland, den Niederlanden, Dänemark, dem Vereinigten Königreich, den USA und Kanada beteiligt, unterstützt von Europol, Eurojust, Microsoft sowie mehreren privaten Cybersicherheitsunternehmen.

Die betroffenen Opfer werden von den Behörden benachrichtigt.

Drei Malware-Familien zerschlagen

Der jüngste Schlag ist Teil der bereits länger laufenden Operation Endgame – einer internationalen Initiative, die auf Malware abzielt, die in der Anfangsphase von Angriffen eingesetzt wird, bevor Ransomware ausgerollt oder sensible Daten gestohlen werden.

Während der zwischen dem 15. und 19. Juni 2026 koordinierten Einsatzphase zerschlugen die Behörden die Infrastruktur von drei Malware-Familien, die nach Einschätzung der Ermittler eine Schlüsselrolle in der Cyberkriminalitätswirtschaft spielen: SocGholish, StealC und Amadey.

Die Sicherheitsbehörden beschreiben die aktuelle Operation als Angriff auf die kriminelle „Kill Chain“ an ihrer Wurzel. Indem die Tools für den ersten Systemzugang aus dem Verkehr gezogen werden, soll ein Großteil der nachgelagerten kriminellen Aktivitäten nachhaltig gestört werden.

ADVERTISEMENT

Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt, erklärte, die Operation habe unzählige künftige Infektionen verhindert.

jurgita justinasv Izabelė Pukėnaitė vilius Ernestas Naprys Gintaras Radauskas
Verpasse keine unserer neuesten Meldungen auf Google News. Füge uns als bevorzugte Quelle bei Google hinzu.
Folge uns

„Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben“, sagte Meywirth.

„Dadurch wurde auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme unterbunden.“

Dr. Benjamin Krause, leitender Oberstaatsanwalt bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), bezeichnete die Operation als Vorbild für internationale Zusammenarbeit.

„Wie die Kriminellen arbeiten auch wir arbeitsteilig und international vernetzt, um schlagkräftig zu sein“, so Krause.

„Der Unterschied ist: Wir stehen auf der guten Seite.“

Was sind SocGholish, StealC und Amadey?

Die sichergestellten Malware-Varianten wurden als Cybercrime-as-a-Service angeboten, sodass auch weniger technisch versierte Kriminelle auf ausgefeilte Angriffswerkzeuge zurückgreifen konnten.

SocGholish ist eine JavaScript-basierte Malware, die über kompromittierte Websites verbreitet wird. Dort werden Nutzern gefälschte Browser-Update-Benachrichtigungen angezeigt, um sie dazu zu verleiten, schädliche Dateien herunterzuladen.

ADVERTISEMENT

StealC ist eine Malware, die darauf ausgelegt ist, Passwörter, Authentifizierungs-Token und andere sensible Daten zu stehlen. Darüber hinaus kann sie als Loader fungieren und Angreifern ermöglichen, nach einer ersten Kompromittierung weitere Schadprogramme nachzuladen.

Gestohlene Zugangsdaten werden häufig auf Underground-Marktplätzen verkauft oder für weitere Angriffe genutzt.

Amadey wird meist über Phishing-Kampagnen verbreitet. Sobald ein Opfer einen bösartigen Anhang öffnet oder auf einen manipulierten Link klickt, kann Amadey weitere Malware installieren und gleichzeitig Passwörter sowie andere sensible Informationen abgreifen. Die Malware vereint die Funktion eines Downloaders mit der eines Informationsdiebs.

Entdecke exklusive Cybernews-Inhalte auf YouTube.

Share
Post
Share
Share
Share
Deutsch English Português (BR) Español Français Niederländisch Italian (IT)
ADVERTISEMENT