Operation Endgame schaltet DanaBot-Malware aus und neutralisiert 300 Server

Im Rahmen einer großen internationalen Operation, die von Europol und Eurojust koordiniert wurde, ist es Strafverfolgungsbehörden und Partnern aus der Privatwirtschaft gelungen, das Schadsoftware-Netzwerk DanaBot zu zerschlagen.

Diese globale Aktion, Teil der laufenden Operation Endgame , führte zur Anklageerhebung gegen 16 Personen, zur Neutralisierung von rund 300 Servern und 650 Domänen weltweit zwischen dem 19. und 22. Mai 2025 und zur Ausstellung internationaler Haftbefehle gegen 20 Zielpersonen. Im Rahmen der Operation Endgame wurden Kryptowährungen im Wert von insgesamt über 21,2 Millionen Euro beschlagnahmt, davon 3,5 Millionen Euro in dieser Aktionswoche.

Die von einer russischen Cybercrime-Organisation gesteuerte Schadsoftware DanaBot infizierte weltweit über 300.000 Computer und verursachte durch Betrug und Ransomware einen Schaden von mindestens 50 Millionen US-Dollar. Zu den vom US-Justizministerium (DoJ) angeklagten Personen gehören Alexander Stepanow (39) und Artem Alexandrowitsch Kalinkin (34), beide aus Nowosibirsk, Russland. Sie sind noch auf freiem Fuß.

DanaBot, erstmals im Mai 2018 entdeckt , agierte als Malware-as-a-Service (MaaS) und vermietete seine Fähigkeiten an andere Kriminelle. Die Malware war äußerst vielseitig und stahl Bankdaten, Browserverläufe und sogar Informationen zu Kryptowährungs-Wallets. Darüber hinaus bot sie Fernzugriff, Keylogging und Bildschirmaufzeichnung. Die ersten Infektionen erfolgten häufig über Spam-E-Mails. Hackread.com berichtete 2019 über das Auftauchen von DanaBot , als Forscher von Proofpoint erstmals seine Verbreitung detailliert beschrieben.

ESET, das DanaBot seit 2018 sorgfältig verfolgt, bestätigte dessen Entwicklung zu einer Top-Banking-Malware und stellte fest, dass Länder wie Polen, Italien, Spanien und die Türkei historisch gesehen zu den am häufigsten angegriffenen Ländern gehörten.

ESET-Forscher Tomáš Procházka fügte hinzu : „Neben der Exfiltration sensibler Daten haben wir beobachtet, dass Danabot auch dazu verwendet wird, weitere Malware, darunter auch Ransomware, auf ein bereits kompromittiertes System zu übertragen.“

Vor Kurzem wurde eine neue Version von DanaBot entdeckt, die in Raubkopien von Softwareschlüsseln für „kostenlose VPNs, Antivirensoftware und Raubkopien von Spielen“ versteckt war und Benutzer dazu verleitete, die Software von gefälschten Websites herunterzuladen.

Über Finanzkriminalität hinaus enthüllten die Ermittlungen DanaBots finstere Doppelfunktion. Eine Variante, die von CrowdStrike als SCULLY SPIDER verfolgt wurde , zielte auf militärische, diplomatische und staatliche Einrichtungen in Nordamerika und Europa ab, um Spionage zu betreiben. ESET beobachtete zudem, wie sie nach der russischen Invasion DDoS-Angriffe auf Ziele wie das ukrainische Verteidigungsministerium startete.

Laut einer Pressemitteilung von Europol ist diese massive Datenabschaltung ein Beleg für die umfassende internationale Zusammenarbeit. Die Ermittlungen wurden von der Außenstelle des FBI in Anchorage und dem Defense Criminal Investigative Service (DCIS) geleitet, mit maßgeblicher Unterstützung des deutschen Bundeskriminalamts (BKA), der niederländischen Nationalpolizei und der australischen Bundespolizei.

Für die entscheidende Koordinierung sorgten Europol und Eurojust. In der Europol-Zentrale befand sich ein Kommandoposten mit Ermittlern aus Kanada, Dänemark, Frankreich, Deutschland, den Niederlanden, Großbritannien und den USA.

Zahlreiche private Cybersicherheitsunternehmen leisteten wichtige technische Unterstützung, darunter Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint , Team Cymru und ZScaler. ESET Research steuerte insbesondere die technische Analyse der Malware und ihrer Backend-Infrastruktur bei und identifizierte die Command-and-Control-Server von DanaBot.

Die deutschen Behörden werden ab dem 23. Mai 2025 18 Verdächtige auf die EU-Liste der meistgesuchten Personen setzen. Diese koordinierte Aktion ist ein schwerer Schlag für cyberkriminelle Netzwerke und zeigt die Macht globaler Partnerschaften im Kampf gegen wachsende Cybersicherheitsbedrohungen.

Ziel der Operation Endgame ist es, die „Ransomware-Kill-Chain“ zu durchbrechen. Bisher konnten die Behörden Initial Access-Malware wie Bumblebee , Latrodectus , Qakbot , Hijackloader , Trickbot und Warmcookie neutralisieren.