SocGholish-Netzwerk zerschlagen: 106 Server und 14.971 Websites gesäubert

Die Schadsoftware gilt als einer der größten digitalen Einfallstore für Ransomware-Angriffe weltweit.

Die Operation mit dem Namen "Endgame" brachte Ermittler aus den Niederlanden, Kanada, den USA und Deutschland zusammen. Unterstützt wurden sie von Europol und Eurojust. Das Ziel: die Infrastruktur einer der gefährlichsten Cyberkriminellen-Gruppen lahmlegen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book: Cyber Security Trends jetzt herunterladen

106 Server stillgelegt, tausende Websites gesäubert

Die Aktion am 18. Juni 2026 traf das SocGholish-Netzwerk mit voller Wucht. Die Behörden schalteten 106 Server und Domains ab, die als Kommandozentrale dienten. Besonders betroffen: WordPress-Seiten. Insgesamt konnten 14.971 kompromittierte Websites bereinigt werden – die meisten davon basierten auf dem populären Content-Management-System.

Die Ermittler deckten auf, dass über die Infrastruktur rund 1,4 Millionen Zugangsdaten abgeflossen waren. Über 154.000 E-Mail-Adressen und mehr als 500.000 Passwörter wurden identifiziert und an den Benachrichtigungsdienst Have I Been Pwned weitergegeben. Betroffene Nutzer können dort prüfen, ob ihre Daten im Umlauf sind.

Kanadische Spezialtechnik befreit tausende Rechner

Bereits einen Tag später, am 19. Juni, meldeten die kanadischen Ermittler einen weiteren Erfolg: Die Royal Canadian Mounted Police (RCMP) entwickelte eine spezielle Technik, um 2.488 infizierte Computer direkt zu desinfizieren. Die betroffenen Geräte waren zuvor über die manipulierten Websites mit der Schadsoftware infiziert worden.

SocGholish – auch bekannt als FakeUpdates – ist ein JavaScript-basierter Schädling, der seit 2017 aktiv ist. Seine Funktion: Er verschafft sich Zugang zu Unternehmensnetzwerken und verkauft diesen Zugang dann an andere Kriminelle weiter. Experten bezeichnen solche Programme als Initial Access Broker (IAB) – die digitale Eintrittskarte für Erpressungstrojaner.

Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Anti-Phishing-Paket für Unternehmen kostenlos sichern

Jeder zweite Cloud-Kunde war betroffen

Die Sicherheitsfirma Infoblox schätzt das Ausmaß der Bedrohung als enorm ein. Demnach waren 55 Prozent aller Cloud-Kunden des Unternehmens im Jahr 2026 mindestens einmal mit SocGholish konfrontiert. Dr. Renée Burton von Infoblox betont: „Das war keine Nischenbedrohung, sondern ein massives, alltägliches Risiko."

Verbindungen zur russischen Evil-Corp-Gruppe

Die Ermittler sehen klare Verbindungen zwischen der SocGholish-Operation – von Sicherheitsforschern als TA569 geführt – und der russischen Cyberkriminellen-Gruppe Evil Corp. Das Botnetz diente immer wieder als Zustellmechanismus für berüchtigte Ransomware-Varianten wie DoppelPaymer, LockBit und RansomHub. Auch die Schadsoftwarefamilien WastedLocker und Hades wurden über diesen Kanal verbreitet.

Die Sicherheitsfirma Proofpoint geht davon aus, dass die Zerschlagung der Infrastruktur die Gruppe empfindlich treffen wird. Das Ausmaß der Server-Beschlagnahmungen und Website-Bereinigungen werde die Fähigkeit von TA569, Ransomware-Angriffe durchzuführen, zumindest kurzfristig massiv einschränken.

WordPress-Betreiber in der Pflicht

Die Behörden raten allen WordPress-Administratoren dringend, ihre Sicherheitsvorkehrungen zu überprüfen. Systeme müssen auf dem neuesten Stand sein, um eine erneute Infektion zu verhindern. Besonders kritisch: veraltete Plugins und schwache Passwörter, die den Angreifern oft erst den Zugang ermöglichen.

de | wissenschaft | 69583060 |