Die Strafverfolgungsbehörden haben den Netzwerken der Cyberkriminellen erneut einen schweren Schlag versetzt. Die Operation ENDGAME, die sich derzeit in ihrer dritten Phase befindet, hat mehr als tausend Server ausgehoben, die zum Hosten und Verbreiten malware genutzt wurden. Diese weltweiten Razzien legen die Infrastruktur offen, die ransomware ermöglicht, aber sie zeigen auch etwas Tieferes: wie schnell sich Angreifer anpassen.
Für SOC-Teams ist dies nicht nur eine Erfolgsgeschichte der Strafverfolgung, sondern auch eine Erinnerung daran, dass Störungen nur vorübergehend sind. Um einen Vorsprung zu behalten, muss man die nächsten Schritte der Gegner erkennen, während diese ihre Tools und Infrastruktur neu aufbauen.
1. Die bislang größte Operation gegen Botnets (Mai 2024)
Im Mai 2024 koordinierten Europol und eine Koalition von Strafverfolgungsbehörden die ihrer Aussage nach bislang größte Operation gegen Botnetze. Diese erste Phase der Operation ENDGAME zielte auf die Infrastruktur ab , die moderne Cyberkriminalität in großem Maßstab unterstützt.
Der Schwerpunkt lag auf malware, also Programmen, die unbemerkt sekundäre Payloads wie ransomware oder Credential Stealern zu liefern, sobald ein System kompromittiert ist. Die Behörden zerschlugen Netzwerke im Zusammenhang mit IcedID, SystemBC, Pikabot, Bumblebee, Trickbot und Smokeloader, allesamt wichtige Komponenten des Initial-Access-Ökosystems, das Angreifer nutzen, um in Unternehmensnetzwerke einzudringen.
Weltweit wurden mehr als 100 Server und rund 2.000 Domains beschlagnahmt, wodurch die Kommunikation zwischen infizierten Systemen und ihren Betreibern unterbrochen wurde. Europol bezeichnete dies als „erheblichen Schlag“ gegen die Untergrundwirtschaft, die ransomware finanziert.
Diese erste Operation bereitete den Weg für eine umfassendere Offensive, die sich von einzelnen malware auf die dahinterstehenden kriminellen Lieferketten ausweitete.
2. Die Ransomware an ihrer Quelle unterbrechen (Mai 2025)
Ein Jahr später kündigte Europol die zweite Welle der Operation ENDGAMEan und beschrieb sie als einen Schlag gegen die ransomware an ihrer Quelle. Über 300 Server wurden offline genommen und 650 Domains neutralisiert, wodurch die Infrastruktur, die von kriminellen Gruppen zur Verbreitung von Loadern und zur Aufrechterhaltung ihrer Präsenz in den Umgebungen der Opfer genutzt wurde, lahmgelegt wurde.
Diese Phase stellte eine strategische Wende dar. Anstatt bestimmte malware zu zerschlagen, gingen die Strafverfolgungsbehörden gegen Initial Access Brokers (IABs) den Spezialisten, die den Zugang zu kompromittierten Netzwerken verkaufen. Durch die Beseitigung ihrer Infrastruktur wurde die erste Stufe der ransomware unterbunden.
Die Behörden beschlagnahmten außerdem Kryptowährungen im Wert von 3,5 Millionen Euro, wodurch sich die Gesamtbeschlagnahmungen im Rahmen der Operation ENDGAME auf über 21 Millionen Euro beliefen. Die Ermittlungen deckten einen globalen Marktplatz für bezahlte Zugänge auf und zeigten, wie organisiert und skalierbar die ransomware mittlerweile ist.
Als die Ermittler jedoch tiefer in die ransomware vordrangen, stellten sie auch fest, wie widerstandsfähig und verteilt diese Infrastruktur geworden war und wie schnell sie wieder auftauchen konnte.
3. Das Ende der Infrastruktur für Cyberkriminalität (November 2025)
Das jüngste Update, das im November 2025 veröffentlicht wurde, markiert die bislang größte und umfangreichste Phase der Operation ENDGAME . Die Behörden haben 1.025 Server in über 20 Ländern stillgelegt und damit die Infrastruktur, die zum Hosten, Steuern und Verbreiten verschiedener Arten von malware genutzt wurde, effektiv lahmgelegt.
Informationen aus früheren Phasen ermöglichten es den Ermittlern , ganze Befehls- und Kontrollökosysteme zu kartieren und Verbindungen zwischen phishing, Datendiebstahl und ransomware aufzudecken, durch die weltweit Zehntausende von Systemen kompromittiert worden waren.
Es kam zu Dutzenden von Festnahmen, und die forensische Analyse der beschlagnahmten digitalen Vermögenswerte deckte Kryptowährungs-Wallets, gestohlene Zugangsdaten und Codebasen auf, die großen malware gehörten. Europol bezeichnete dies als das „Ende des Spiels“ für mehrere produktive malware , die sich auf widerstandsfähige, cloud Hosting-Dienste verlassen hatten, um einer Entdeckung zu entgehen.
Obwohl diese Abschaltung die kriminellen Aktivitäten erheblich beeinträchtigt hat, warnen Experten davor, dass sich die Infrastrukturen für Cyberkriminalität schnell regenerieren. Sobald bekannte Server und Domains abgeschaltet werden, entstehen neue, die oft in legitimen cloud oder verschlüsselten Kanälen versteckt sind. Für die Verteidiger bedeutet dies, dass die Strafverfolgungsbehörden nur begrenzt tätig werden können. Kontinuierliche Erkennung muss dort ansetzen, wo die Störung aufhört.
Warum dies für SOC-Teams wichtig ist
1. Störungen beseitigen keine Bedrohungen
Die Operation ENDGAME beweist, dass selbst massive Ausfälle der Infrastruktur das Risiko nicht beseitigen. Angreifer bauen ihre Systeme schnell wieder auf, oft innerhalb weniger Tage. Für SOC-Teams bedeutet dies, dass die Indikatoren für Kompromittierungen von gestern schnell an Wert verlieren. Statische Abwehrmaßnahmen und signaturbasierte Tools können nicht mithalten. Der einzige nachhaltige Ansatz ist die Verhaltenserkennung, die die Techniken identifiziert, die Angreifer wiederverwenden, unabhängig von der Infrastruktur, von der aus sie operieren.
2. Die erste Zugriffsebene ist nach wie vor die schwächste Stelle
Jede Phase der Operation ENDGAME hat eine andere Stufe der kriminellen Lieferkette ins Visier genommen, aber der Schwerpunkt liegt auf Initial Access Brokers und malware verdeutlicht dieselbe Tatsache: In den frühesten Phasen einer Kompromittierung sind die Abwehrmaßnahmen oft am schwächsten.
Diese Tools fügen sich in den legitimen Netzwerkverkehr ein und nutzen die Lücken zwischen endpoint, Identitäts- und cloud aus. Um sie zu erkennen, ist eine domänenübergreifende Transparenz erforderlich, die unerwartete Authentifizierungsmuster, laterale Bewegungen oder abnormale Datenbereitstellungen aufspürt, die auf eine Sicherheitsverletzung hinweisen, bevor ransomware .
3. Hybrid- und Cloud
Die im Rahmen der Operation ENDGAME beschlagnahmten Server befanden sich nicht nur bei kriminellen Hosting-Anbietern. Viele befanden sich in legitimen cloud , was zeigt , wie Angreifer dieselben Plattformen nutzen, auf die sich auch Unternehmen verlassen. Dies spiegelt wider, womit SOC-Teams täglich konfrontiert sind: fragmentierte Sichtbarkeit in Hybrid- und SaaS-Umgebungen, in denen herkömmliche Perimeter-Abwehrmaßnahmen nicht greifen.
Verteidiger müssen ihre Überwachung auf die Bereiche ausweiten, in denen moderne Bedrohungen auftreten, also auf den Netzwerkverkehr, Identitätssysteme und cloud . Nur so lassen sich Angreifer erkennen, die sich unter normalen Aktivitäten verstecken.
Kontinuierliche Sichtbarkeit ist die einzige echte Disruption
Die Operation ENDGAME zeigt, dass koordinierte Störmaßnahmen funktionieren, aber die eigentliche Bewährungsprobe beginnt nach der Zerschlagung. Kriminelle Gruppen bauen sich schneller wieder auf, passen sich an und migrieren zu neuen Infrastrukturen, als statische Abwehrmaßnahmen mithalten können.
Für SOC-Teams sind kontinuierliche Transparenz und kontextbezogene Erkennung die einzigen Möglichkeiten, um immer einen Schritt voraus zu sein. Das Ziel besteht nicht nur darin, einzelne Warnmeldungen zu erfassen, sondern Identitätsanomalien, Privilegienerweiterungen, laterale Bewegungen und Datenexfiltration zu einem einzigen, umsetzbaren Szenario zu verknüpfen, das die Absichten des Angreifers offenlegt.
Genau hier setzt die Vectra AI einen Mehrwert. Mit agentenloser Transparenz über Netzwerk, Identität und cloud sowie KI-gesteuerter Verhaltensanalyse erkennt Vectra das Verhalten von Angreifern, sobald es auftritt, selbst wenn die Infrastruktur brandneu ist. Es wandelt fragmentierte Signale in einen klaren Kontext um, sodass Analysten entschlossen reagieren können, bevor Angreifer sich neu formieren können.
Sehen Sie selbst, wie die Vectra AI erkennt, was andere übersehen. Starten Sie eine selbstgesteuerte Demo und erleben Sie die verhaltensgesteuerte Erkennung in Aktion.