Die weltweite Bedrohung durch Ransomware steht weiterhin im Fokus von Strafverfolgungsbehörden. Europol hat im Rahmen der laufenden Operation Endgame einen bemerkenswerten Erfolg erzielt. Rund 300 Server wurden stillgelegt, über 650 Domains neutralisiert und mindestens 20 verdächtige Personen mit internationalen Haftbefehlen belegt. Die Aktion fand zwischen dem 19. und 22.
Mai 2025 statt und stellt eine neue Phase im Kampf gegen Cyberkriminalität dar. Insgesamt wurden mehr als 3,5 Millionen Euro in Kryptowährungen beschlagnahmt, was die Gesamtsumme, die seit Beginn der Operation Endgame sichergestellt wurde, auf über 21,2 Millionen Euro anhebt. Operation Endgame begann ursprünglich im Mai 2024 mit dem Ziel, die Infrastruktur und Dienste zu zerschlagen, die Cyberkriminellen eine erste Zugangsplattform für Ransomware-Angriffe bieten. Während die erste Phase der Operation sich auf die Zerschlagung von Schadsoftwarefamilien konzentrierte, die üblicherweise als Trojaner oder Initial Access Tools fungieren, richtet sich das aktuelle Vorgehen gegen neuere Varianten und Nachfolge-Gruppen, die nach der ersten Runde weiterhin aktiv waren oder reaktiviert wurden. Die reaktivierten Malware-Gruppen umfassen namhafte Bedrohungen wie Bumblebee, Lactrodectus, QakBot, HijackLoader, DanaBot, TrickBot sowie WARMCOOKIE.
Viele dieser Schadprogramme werden als sogenannte Malware-as-a-Service (MaaS) angeboten. Dabei handelt es sich um ein kriminelles Geschäftsmodell, bei dem Entwickler von Schadsoftware ihre Tools gegen Zahlung zur Verfügung stellen, sodass andere, meist weniger technisch versierte Täter die eigentlichen Ransomware-Angriffe ausführen können. Europol betont, dass es sich bei den Angreifern nicht nur um isolierte Hackergruppen handelt, sondern um vernetzte, organisch gewachsene Ökosysteme krimineller Aktivitäten, die sich ständig weiterentwickeln, um Entdeckungen und Festnahmen zu entgehen. Durch die stille Zerschlagung ihrer Infrastruktur wird deshalb die gesamte Wertschöpfungskette der Ransomware-Angriffe beeinträchtigt. Im Klartext bedeutet dies, dass nicht nur die eigentliche Schadsoftware bremsen kann, sondern vor allem die Zugangspunkte, über die sich Angreifer Zugang zu Unternehmensnetzwerken verschaffen.
Die Bundeskriminalamt Deutschlands (BKA) hat parallel zu Europols Operation wichtige Ermittlungserfolge bekanntgegeben. Strafverfahren gegen 37 Tatverdächtige wurden eingeleitet. Einige der als besonders gefährlich eingestuften Personen wurden auf die EU-Liste der meistgesuchten Cyberkriminellen aufgenommen. Dabei handelt es sich unter anderem um bekannte Mitglieder der QakBot- und TrickBot-Gruppen mit aliasen wie Carterj, Dancho, Gucci oder Mango. Diese Täter sind maßgeblich an der Verbreitung von Schadsoftware und digitalen Angriffen beteiligt gewesen.
Das Vorgehen in der jüngsten Operation zeigt auch die internationale Zusammenarbeit verschiedener Behörden und Länder, die sich nicht nur auf Europa beschränkt, sondern weltweit eingesetzt wurde. In diesem Zusammenhang sind neben Europol und dem BKA auch die US-amerikanische Strafverfolgung, Justizbehörden aus Großbritannien, Frankreich, Südkorea, Österreich, den Niederlanden, Brasilien, der Schweiz und Spanien mit von der Partie. In den letzten Monaten wurden bei der koordinierten Operation RapTor zusätzlich 270 Personen in 10 Ländern festgenommen. Diese Ermittlung richtete sich gegen Darknet-Händler und Käufer, die mit illegalen Waren wie Drogen, Waffen und gefälschten Produkten handeln. Besonders auffällig sind die intelligenten Strategien, mit denen die Kriminellen versuchen, den Behörden zu entgehen.
So verlagern sich Marktteilnehmer immer mehr weg von größeren Marktplätzen hin zu kleineren Shops, die einzeln betrieben werden. Diese Mikro-Märkte umgehen viele Sicherheitsmechanismen der Strafverfolgung, da sie keine größeren Umsätze über zentrale Plattformen abwickeln und dadurch weniger leicht entdeckt werden können. Dennoch zeigt das Ergebnis der Ermittlungen, dass kein Schatten zu dunkel ist, als dass die Gesetze dort nicht doch noch wirken könnten. Die Sicherstellung von Bargeld und Kryptowährungen in Rekordhöhe unterstreicht die wirtschaftliche Dimension dieser Cyberkriminalität. Allein in der neuesten Operation wurden 184 Millionen Euro ersatzweise in bar und digitalen Währungen beschlagnahmt.
Zusätzlich wurden erhebliche Mengen an Drogen, Waffen und gefälschten Waren sichergestellt. Der Erfolg zeigt eindrucksvoll, dass sich zunehmende technische und menschliche Ressourcen auf Seiten der Strafverfolgung auszahlen. Ein weiteres Highlight dieser komplexen Operation ist das Vorgehen gegen bekannte Darknet-Märkte. Im Fokus stand unter anderem der Incognito Market, der über 100 Millionen US-Dollar an illegalen Drogenverkäufen verbuchen konnte, bevor er im März 2024 abgeschaltet wurde. Der Betreiber, Rui-Siang Lin, gestand im Dezember 2024 die Verantwortung für den Betrieb.
Diese Art von Geständnissen und Festnahmen sendet eine starke Botschaft an die kriminelle Szene, dass auch vermeintliche Anonymität und technische Raffinesse nicht vor Recht und Ordnung schützen. Die Reaktion von Behördenvertretern unterstreicht die Bedeutung der laufenden Maßnahmen. Catherine De Bolle, Generaldirektorin von Europol, hebt hervor, dass das Ziel darin besteht, die „Killerkette“ der Cyberkriminalität von der Wurzel her zu durchbrechen, indem Dienste und Infrastrukturen lahmgelegt werden, auf die Kriminelle angewiesen sind. „Diese neue Phase zeigt, wie Behörden sich anpassen und erneut zuschlagen können, auch wenn Kriminelle ihre Methoden ändern“, so De Bolle. Auch die Reaktionen der US-Drogenvollzugsbehörde (DEA) belegen die multiplen Ebenen, auf denen diese Operationen wirken.
Robert Murphy, amtierender DEA-Administrator, bezeichnet die Täter als „Räuber, die Gift vertreiben“ und zeigt auf, wie diese Durchsuchungen und Festnahmen Leben retten und kriminelle Netzwerke nachhaltig schwächen. Die Herausforderungen im Kampf gegen Cyberkriminalität sind komplex. Technologische Entwicklungen schaffen einerseits neue Sicherheitslösungen, werden andererseits aber auch von Kriminellen genutzt, um ihre Aktivitäten zu verschleiern. Künstliche Intelligenz, Kryptowährungen und verschlüsselte Kommunikation machen den Behörden den Zugriff nicht leicht. Dennoch zeigen Operationen wie Endgame und RapTor, dass international koordinierte Strategien und die Kombination aus technischer Expertise und juristischer Härte enorme Fortschritte erzielen können.
Für Unternehmen, Behörden und Privatpersonen bedeutet dies, dass Wachsamkeit gegenüber Cyberangriffen und kriminellen Machenschaften weiterhin oberste Priorität haben sollte. Die Bekämpfung von Ransomware erfordert nicht nur technische Schutzmaßnahmen wie Firewalls oder Mehrfaktorauthentifizierung, sondern auch eine enge Zusammenarbeit mit Sicherheitsbehörden und eine kontinuierliche Schulung im Bereich Cyberhygiene. Schlussendlich steht auch die Politik in der Verantwortung, für klare gesetzliche Grundlagen zu sorgen, die internationale Zusammenarbeit und Ermittlungen gegen Cyberkriminalität erleichtern. Nur durch global koordinierte und umfassende Maßnahmen lässt sich die digitale Kriminalität eindämmen und die Sicherheit in der vernetzten Welt gewährleisten. Die jüngsten Erfolge von Europol und den Partnerbehörden sind ein wichtiger Schritt auf diesem Weg.
Sie zeigen, dass Cyberkriminelle, egal wie gut sie sich verstecken, nicht ungestraft bleiben. Mit Nachdruck, technologischem Know-how und internationaler Kooperation kann der Kampf gegen das digitale Verbrechen gewonnen werden. Die Öffentlichkeit bleibt aufgerufen, sich dieser Herausforderung bewusst zu sein und entsprechend zu handeln.
