Operation Endgame: Så slog polisen till mot maskningskedjan bakom ransomware-vågen

Mellan den 15 och 19 juni 2026 utförde polis och åklagare i en rad länder tillsammans med Europol och Eurojust den senaste fasen av Operation Endgame. Insatsen riktade sig mot den kriminella infrastrukturen bakom malware-laddaren SocGholish, botnätet Amadey och infostöldaren StealC – alla viktiga kuggar i den tidiga attackkedja som möjliggör ransomwarespridning i stor skala.

Viktiga operativa resultat

• 326 servrar demonterades och 142 domäner togs ner under insatsen . Det tyska BKA rapporterar i sin tur "över 320 servrar och mer än 140 domäner" – siffror som stämmer inom avrundning .
• Närmare 15 000 webbplatser sanerades som en del av arbetet mot SocGholish .
• Över 41 miljoner euro / 47 miljoner dollar i kriminell kryptovaluta identifierades, märktes och frystes .
• 27 miljoner stulna inloggningsuppgifter återfanns från mer än 385 000 offer .
• Över 140 000 infekterade datorer kopplades till Amadey och StealC bara under första halvan av maj 2026 .

Måltavlorna – cyberbrottslighetens maskineri

• SocGholish – en utbredd malware-laddare som injicerar skadlig JavaScript-kod på komprometterade webbplatser, och som fungerar som en inkörsport för ransomware-grupper .
• Amadey – ett botnät och en laddare som används för att placera ytterligare skadlig kod på offrets dator, däribland StealC .
• StealC – en informationsstöldare (infostealer) som säljs som en tjänst för att stjäla inloggningsuppgifter och annan känslig data .

Samarbetet bakom insatsen

• Polisiära och rättsliga myndigheter: Kanada, Danmark, Tyskland, Nederländerna, Storbritannien, USA, Europol och Eurojust deltog .
• Privata partners: Microsoft, Bitdefender, IBM X-Force, Proofpoint, Infoblox, Shadowserver Foundation, Orange Cyberdefense, Bitsight och ESET bidrog med teknisk underrättelse och teknisk support .

Strategisk betydelse

Operation Endgame markerar en tydlig strategisk förändring: i stället för att bara jaga enskilda ransomware-grupper angriper man nu hela den kriminella försörjningskedjan – laddarna, infostöldarna och de aktörer som möjliggör massintrång. Genom att samtidigt slå mot SocGholish, Amadey och StealC skar myndigheterna av de distributionsmekanismer som många ransomware-grupper är beroende av. Europol beskriver insatsen som ett "landmärke i kampen mot cyberbrottslighet" som bryter den digitala smittkedjan innan ransomware ens hinner laddas upp .

Liten avvikelse i rapporteringen

BKA:s pressmeddelande anger "över 320 servrar och mer än 140 domäner" , medan andra källor anger exakt 326 servrar och 142 domäner . Skillnaderna är marginella och förändrar inte bilden av insatsens omfattning.