Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben in einer international abgestimmten Aktion im Zeitraum vom 19. bis 22.05.2025 gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Kanada und den USA sowie mit Unterstützung durch Europol und Eurojust die derzeit einflussreichsten Schadsoftware-Varianten vom Netz genommen und dahinterstehende Täter identifiziert.

Im Zuge der internationalen Ermittlungen konnten gegen 37 identifizierte Akteure strafprozessuale Maßnahmen eingeleitet werden. Hierbei wurden gegen einen Großteil der Beschuldigten internationale Haftbefehle erwirkt und internationale Fahndungsmaßnahmen eingeleitet, die durch Öffentlichkeitsfahndungen auch von Europol und Interpol unterstützt werden. Die beteiligten Staaten haben den Tätern den Zugriff auf weltweit rund 300 Server entzogen, davon etwa 50 Server in Deutschland. Zudem konnten ca. 650 Domains unschädlich gemacht werden. Damit ist es den Strafverfolgungsbehörden gelungen, die technische Infrastruktur der Täter entscheidend zu schwächen. Es wurde Kryptowährung im Gesamtwert von derzeit umgerechnet 3,5 Millionen Euro sichergestellt und den Cyberkriminellen so eine erhebliche Menge ihrer finanziellen Basis entzogen.

Den aktuellen Maßnahmen gingen aufwändige Ermittlungen in den beteiligten Staaten voraus. In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt. Auf dieser Grundlage konnten ZIT und BKA gemeinsam internationale Haftbefehle gegen 20 Akteure, weit überwiegend russische Staatsangehörige, erwirken und entsprechende Fahndungsmaßnahmen einleiten. Ergänzend haben die US-amerikanischen Be-hörden gegen 17 Akteure sogenannte „Indictments“ nach angloamerikanischem Recht erlassen.

Die maßgeblich durch die ZIT und das BKA koordinierten Maßnahmen sind Teil der Operation Endgame, die im Jahr 2022 von Deutschland initiiert wurde und die bislang größte internationale Polizei-Operation gegen Cybercrime im engeren Sinne darstellt.

BKA-Präsident Holger Münch:

„Deutschland steht im besonderen Fokus von Cyberkriminellen. Mit der Operation Endgame 2.0 haben wir erneut gezeigt: Unsere Strategien wirken – auch im vermeintlich anonymen Darknet. Mit unseren Maßnahmen leisten wir als BKA einen entscheidenden Beitrag zur aktiven Cybersicherheit in Deutschland. Und diese Aktivitäten wollen und werden wir angesichts der bestehenden Bedrohungslage im Bereich Cybercrime deutlich ausbauen.“

ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause:

„Die internationale Kooperation der Strafverfolgungsbehörden zur Bekämpfung von Cybercrime funktioniert und wird ständig fortentwickelt. Sie ist aber auch alternativlos: Denn nur mit gemein-samen Maßnahmen wie der Beschlagnahme krimineller IT-Infrastruktur, der Abschöpfung kriminell erlangter Finanzmittel und internationalen Fahndungsmaßnahmen können die Verantwortlichen von global tätigen Cybercrime-Gruppierungen effektiv verfolgt werden.“

Strategie und bisherige Maßnahmen:

Ziel der Operation Endgame ist es, die relevantesten Schadsoftware-Varianten der Kategorie „Initial Access Malware“ (sogenannte Dropper oder Loader) unschädlich zu machen. Schadsoftware dieser Kategorie wird zur Erstinfektion genutzt und dient Cyberkriminellen als Türöffner, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Dies geschieht beispielsweise zum Ausspähen von Daten oder zur Verschlüsselung des Systems mit dem Ziel der Erpressung von Lösegeld (sogenannte Ransomware). Die Sicherheitsbehörden verfolgen die Strategie, unmittelbar am Anfang der Angriffskette (der sogenannten Kill Chain) anzusetzen und das gesamte „Cybercrime-as-a-service“-Ökosystem an der Wurzel zu schädigen. Durch gebündelte Maßnahmen gegen die täterseitig genutzte technische und finanzielle Infrastruktur und gegen die Akteure gleich mehrerer solcher teilweise kollaborierender Tätergruppen soll das Geschäftsmodell der Cyberkriminellen nachhaltig zerstört werden.

Im Rahmen der Operation Endgame haben die Sicherheitsbehörden bereits mehrere Maßnahmen gegen die Underground Economy durchgeführt:

– Die ersten Maßnahmen im Mai 2024 richteten sich gegen die personelle, finanzielle und technische Infrastruktur der seinerzeit einflussreichsten sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Die von mindestens 15 Ransomware-Gruppierungen genutzten Botnetze konnten erfolgreich zerschlagen werden.

– Im September 2024 erfolgten Maßnahmen gegen die kriminellen Kryptowährungsbörsen Cryptex und PM2BTC, im Zuge derer die Plattformen beschlagnahmt und Vermögenswerte sichergestellt wurden. Diese Plattformen wurden von diversen Cybercrime-Gruppierungen, genutzt, um Kryptowährungen in gesetzliche Zahlungsmittel zu tauschen.

– Zuletzt wurden im April 2025 Maßnahmen gegen die identifizierten Kunden des Smokeloader-Akteurs „superstar75737“ durchgeführt. Bei diesen Maßnahmen wurden mehrere Personen vorläufig festgenommen und vernommen sowie Hausdurchsuchungen durchgeführt.

– Die aktuellen Maßnahmen unter dem Arbeitsnamen „Endgame 2.0“ adressieren die entsprechenden Nachfolge-Gruppierungen sowie weitere relevante Schadsoftware-Varianten: Bumblebee, Danabot, Hijackloader, Latrodectus, Qakbot, Trickbot und Warm-cookie. Ein maßgeblicher Teil der Maßnahmen richtet sich außerdem gegen die dahinterstehende Täterschaft.

– Darüber hinaus haben die Endgame-Partner die aktuell federführend durch Microsoft durchgeführten Takedown-Maßnahmen gegen die Schadsoftware-Variante Lumma unterstützt.

Öffentlichkeitsfahndungen:

Gegen 18 Akteure, mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Quakbot“, fahnden ZIT und BKA öffentlich. Lichtbilder und Beschreibungen der Beschuldigten finden Sie unter folgendem Link auf der BKA-Webseite: www.bka.de/endgame_fahndung Dort können weiterhin auch Informationen zu den acht Öffentlichkeitsfahndungen im Zuge der Endgame-Maßnahmen aus Mai 2024 abgerufen werden, die sich gegen weitere mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Smokeloader“ richten.

Informationen für Täter und Zeugen:

Die Operation Endgame wird fortgesetzt und wählt über die Fahndungsmaßnahmen hinaus eine neue Herangehensweise, indem sie sich auch direkt an die Täter wendet. Über die Webseite der internationalen polizeilichen Partner stehen fortlaufend Informationen zur Verfügung: www.operation-endgame.com Hier werden die Akteure in Form von Kurzvideos mit der Botschaft „Operation Endgame – think about (y)our next move“ direkt adressiert und darüber hinaus potenzielle Zeugen um Hinweise gebeten.

Informationen für Opfer:

Seit Mai 2024 unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Endgame-Partner, indem es unter anderem die Infrastruktur zur Umleitung des Datenverkehrs auf behördeneigene Server bereitstellt und die Umleitungen koordiniert und umsetzt (sogenanntes Sinkholing). Darüber hinaus wertet das BSI technische Asservate aus und sammelt zielgerichtet Informationen bezüglich relevanter Schadsoftware-Varianten. Für Deutschland hat das BSI nachhaltige Maßnahmen ergriffen, um den Zugriff infizierter Systeme auf die Steuerungssysteme der Täter auch über deren Abschaltung hinaus effektiv zu unterbinden. Dabei werden die Kontaktversuche der Schadsoftware von infizierten Opfersystemen detektiert und die Betroffenen über eine festgestellte Infektion an ihrem Internetanschluss benachrichtigt. Weitere Informationen zum Thema Botnetze sowie Steckbriefe zu den Schadsoftware-Varianten mit Hinweisen zur Bereinigung infizierter Systeme sind auf der BSI-Webseite abrufbar: https://www.bsi.bund.de/dok/botnetz-provider-info

Bei den Endgame-Maßnahmen konnten die internationalen Strafverfolgungsbehörden auch Vermögenswerte sicherstellen, die nun an die Betroffenen zurückfließen sollen. Aktuell findet durch die zuständigen amerikanischen Behörden eine Aufarbeitung statt, welche Unternehmen weltweit nachweislich Opfer von Ransomware aufgrund einer Primärinfektion durch die Schadsoftware Qakbot geworden sind. Nach derzeitigem Stand stehen hierfür rund 21 Millionen Euro zur Verfügung. BKA und ZIT werden nach Erhalt der Liste auf die entsprechenden deutschen Opfer zugehen und den Prozess der Rückerstattung mit den amerikanischen Behörden einleiten.

Weitere Informationen zur Operation Endgame sowie eine digitale Pressemappe finden Sie auf der BKA-Webseite unter: www.bka.de/Endgame

BKA, 23.05.2025