Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 25.06.2026 · 5 min Lesezeit

Operation Endgame: BKA und ZIT nehmen drei Malware-Varianten vom Netz

BKA und ZIT haben im Rahmen der Operation Endgame drei Malware-Varianten (SocGholish, StealC, Amadey) vom Netz genommen. Über 320 Server wurden beschlagnahmt, rund 27 Millionen Zugangsdaten sichergestellt. Die Aktion zielt auf die Anfangskette von Cyberangriffen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
BKA und ZIT isolieren bei Operation Endgame drei Malware-Varianten in einer Cybersecurity-Kontrollraum-Visualisierung.

Das Bundeskriminalamt (BKA) und die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) haben im Rahmen der internationalen Operation Endgame drei gefährliche Malware-Varianten vom Netz genommen. Die Aktion richtete sich gegen SocGholish, StealC und Amadey. Diese Malware-Familien dienen als Einstiegspunkt für schwerwiegendere Angriffe wie Ransomware oder Datendiebstahl. Die Operation wurde vom 15. bis 19. Juni 2026 durchgeführt und umfasste die Beschlagnahmung von über 320 Servern, darunter 40 in Deutschland. Zudem wurden rund 27 Millionen Zugangsdaten sichergestellt und Kryptovermögen im Wert von über 47 Millionen US-Dollar markiert. Die internationale Beteiligung umfasste Behörden aus den Niederlanden, Dänemark, Großbritannien, den USA und Kanada, unterstützt von Europol, Eurojust, Microsoft und IT-Sicherheitsunternehmen.

Meldung und Einordnung

Am 24. Juni 2026 veröffentlichte Deskmodder.de einen detaillierten Bericht über die Operation Endgame. Die Operation ist bemerkenswert, weil sie nicht erst bei der Ransomware ansetzt, sondern an der Anfangskette der Infektion. SocGholish, StealC und Amadey sind keine Ransomware selbst, sondern Dropper und Loader, die den initialen Zugang für spätere Angriffe schaffen. Indem die Behörden diese Einstiegspunkte unschädlich machen, werden ganze Infektionsketten unterbrochen, bevor sie zu Ransomware oder Datendiebstahl eskalieren können.

Die Operation Endgame ist ein Paradebeispiel für internationale Zusammenarbeit gegen Cyberkriminalität. Neben den deutschen Behörden waren Strafverfolgungsbehörden aus den Niederlanden, Dänemark, Großbritannien, den USA und Kanada beteiligt. Europol und Eurojust koordinierten die Aktion, während Microsoft und IT-Sicherheitsunternehmen technische Unterstützung leisteten.

Technische Details für Admins

SocGholish

SocGholish ist ein Dropper und Loader, der sich über kompromittierte Webseiten verbreitet. Besuchern wird ein gefälschtes Browser-Update angezeigt. Wenn das Opfer darauf klickt, wird Schadsoftware installiert, die den Zugriff für Folgeangriffe schafft. SocGholish ist bekannt für seine Verbreitung über legitime, aber kompromittierte Webseiten und gehört zu den am weitesten verbreiteten Malware-Droppern.

StealC

StealC ist ein Stealer, der auf gespeicherte Zugangsdaten, Passwörter und digitale Identitäten abzielt. Die gestohlenen Daten werden entweder direkt für Kontoübernahmen genutzt oder auf Untergrund-Märkten verkauft. StealC kann zudem weitere Schadsoftware nachladen, was ihn zu einem vielseitigen Werkzeug in der Angriffskette macht.

Amadey

Amadey ist ein Loader und Dropper, der sich hauptsächlich über Phishing-Kampagnen verbreitet. Er dient als Einstiegspunkt für weitere Schadprogramme und ermöglicht Datenabgriff. Amadey verschafft Angreifern zusätzlichen Spielraum auf dem kompromittierten System.

MalwareTypVerbreitungFunktion
SocGholishDropper/LoaderKompromittierte Webseiten, Fake Browser-UpdatesInstalliert Schadsoftware, schafft Zugang für Folgeangriffe
StealCStealerPhishing, Drive-by-DownloadsStiehlt Zugangsdaten, Passwörter, digitale Identitäten
AmadeyLoader/DropperPhishing-KampagnenEinstiegspunkt für weitere Schadprogramme, Datenabgriff

Umfang der Operation

Die Ergebnisse der Operation Endgame im Überblick:

  1. Einsatzzeitraum: 15. bis 19. Juni 2026
  2. Unschädlich gemachte Infrastruktur: Rund 15.000 Webseiten, über 320 Server (davon 40 in Deutschland), über 140 Domains
  3. Sichergestellte Daten: Rund 27 Millionen Zugangsdaten
  4. Betroffene: Über 385.000 Personen und Organisationen
  5. Kryptovermögen markiert: Über 47 Millionen US-Dollar krimineller Herkunft
  6. Rechtliche Grundlage: Ermittlungen wegen banden- und gewerbsmäßiger Erpressung, Erpressung im besonders schweren Fall

Risiko für KMU und Betrieb

Die Operation Endgame ist für deutsche Unternehmen und KMU besonders relevant, da 40 der beschlagnahmten Server in Deutschland standen. Das BSI wird betroffene Organisationen in Deutschland benachrichtigen. Die Aktion zeigt, dass die Bedrohung durch Malware-Dropper und Loader allgegenwärtig ist und nicht nur große Konzerne betrifft.

Besonders tückisch: SocGholish verbreitet sich über kompromittierte Webseiten, die auf den ersten Blick vertrauenswürdig aussehen. Ein Mitarbeiter, der eine bekannte Webseite besucht, kann ohne eigenes Verschulden mit einem gefälschten Browser-Update konfrontiert werden. Herkömmliche Mitarbeiterschulungen allein reichen nicht aus, um gegen solche Angriffe zu schützen.

Was Admins jetzt prüfen sollten

  1. Patchmanagement verschärfen: Stellen Sie sicher, dass alle Systeme auf dem aktuellen Patchstand sind. Kompromittierte Webseiten nutzen oft bekannte Lücken in Content-Management-Systemen.
  2. Monitoring auf Dropper-Aktivitäten prüfen: Überwachen Sie ungewöhnliche Prozessstarts, insbesondere aus dem Browser-Kontext heraus. Achten Sie auf gefälschte Browser-Update-Prozesse.
  3. Webseiten-Sicherheit prüfen: Wenn Sie selbst Webseiten betreiben, prüfen Sie diese auf Kompromittierung. SocGholish nutzt häufig kompromittierte WordPress-Seiten als Verteilungsplattform.
  4. Zugangsdaten überwachen: Prüfen Sie, ob Ihre Zugangsdaten in den sichergestellten 27 Millionen Datensätzen enthalten sind. Nutzen Sie Dienste wie Have I Been Pwned.
  5. Netzwerksegmentierung: Stellen Sie sicher, dass kritische Systeme vom Internet getrennt oder durch mehrstufige Sicherheitsmaßnahmen geschützt sind.
  6. Backup-Strategie überprüfen: Auch wenn die Operation die Anfangskette unterbrochen hat, können bereits bestehende Infektionen noch aktiv sein. Prüfen Sie Ihre Backups auf Integrität.

Betriebscheck nach der Meldung

  1. Habe ich meine Systeme auf Anzeichen einer SocGholish-, StealC- oder Amadey-Infektion geprüft?
  2. Sind meine Webseiten auf Kompromittierung geprüft?
  3. Habe ich das BSI benachrichtigt, falls ich betroffen bin?
  4. Ist mein Patchmanagement auf dem aktuellen Stand?
  5. Werden ungewöhnliche Prozessstarts aus dem Browser-Kontext überwacht?
  6. Habe ich meine Zugangsdaten auf Kompromittierung geprüft?

Admin-Einschätzung

Die Operation Endgame ist ein wichtiger Erfolg für die internationale Strafverfolgung. Der Ansatz, an der Anfangskette der Infektion anzusetzen, ist strategisch klüger als die Jagd auf einzelne Ransomware-Gruppen. Allerdings zeigt die schiere Größe der Operation auch, wie massiv das Problem ist: 15.000 Webseiten, 320 Server, 27 Millionen Zugangsdaten und 385.000 Betroffene allein für drei Malware-Familien.

Für Admins bedeutet dies: Die Bedrohung durch Malware-Dropper und Loader wird nicht verschwinden. Auch wenn die Operation Endgame kurzfristig für Entlastung sorgt, werden neue Varianten und neue Verteilungswege entstehen. Ein mehrschichtiger Sicherheitsansatz mit Patchmanagement, Monitoring, Netzwerksegmentierung und regelmäßigen Sicherheitsüberprüfungen bleibt unverzichtbar.

Passende Anleitungen auf S-EDV

  1. Gentlemen Ransomware: EDR-Killer deaktiviert Sicherheitssoftware von 48 Herstellern – Aktuelle Ransomware-Bedrohung und Schutzmaßnahmen.
  2. Security-Awareness-Programm und Phishing-Simulation im KMU aufbauen – Grundlagen für Prävention von Social Engineering.
  3. Phishing erkennen und melden – Kurzleitfaden fürs Team – Praktische Anleitung für Mitarbeiter.

Quellen

  1. Deskmodder: Operation Endgame – BKA und ZIT nehmen drei gefährliche Malware-Varianten vom Netz
  2. Bundeskriminalamt (BKA)
  3. Europol
Verwandt

Weiter lesen

Alle Artikel →
IT-News-Grafik zu Cordyceps: kritische CI/CD-Sicherheitslücken gefährden über 300 GitHub-Repositories und zeigen Risiken in automatisierten Build-Pipelines.
25.06.2026 ·4 min

Cordyceps: Kritische CI/CD-Lücken gefährden 300+ GitHub-Repos

Novee Security hat die Cordyceps-CI/CD-Schwachstellen aufgedeckt, die über 300 GitHub-Repos von Microsoft, Google, Apache, Cloudflare und Python Software Foundation betreffen. Angreifer können von jedem kostenlosen GitHub-Account aus Supply-Chain-Angriffe starten.
Malicious npm Pakete tarnen sich als PostCSS Tools und liefern Windows RAT über manipulierte JavaScript Pakete aus.
25.06.2026 ·3 min

Malicious npm-Pakete tarnen sich als PostCSS-Tools und liefern Windows-RAT aus

JFrog Research hat drei bösartige npm-Pakete entdeckt (aes-decode-runner-pro, postcss-minify-selector, postcss-minify-selector-parser), die einen Windows-RAT installieren. Der Angriff nutzt Typosquatting auf postcss-selector-parser (127 Mio. Weekly Downloads).
WhatsApp VBScript Kampagne mit Fake Dokumenten, schädlicher VBS Datei und Remote Management Dashboard, das die Installation eines ManageEngine RMM Tools auf einem Windows System visualisiert.
25.06.2026 ·4 min

WhatsApp VBScript-Kampagne: Fake-Dokumente installieren ManageEngine RMM-Tool

Kaspersky hat eine aktive Kampagne entdeckt, die kompromittierte WhatsApp-Konten nutzt, um VBScript-Dateien zu verbreiten. Die Malware installiert das legitime RMM-Tool ManageEngine RMM Central auf den Systemen der Opfer.