Operation Ramz: Interpol geht gegen Phishing und Zwangsarbeit in MENA vor

Foto des Autors

CyberSecureFox Editorial Team

INTERPOL hat eine in ihrem Umfang beispiellose koordinierte Operation gegen Cyberkriminalität in der Region Naher Osten und Nordafrika (MENA) abgeschlossen. Die Operation Ramz, die von Oktober 2025 bis Februar 2026 mit Beteiligung von 13 Staaten durchgeführt wurde, führte zu 201 Festnahmen, zur Identifizierung weiterer 382 Verdächtiger, zur Ermittlung von 3 867 Opfern und zur Beschlagnahme von 53 Servern. Neben klassischen Phishing- und Betrugsschemata wurde im Zuge der Ermittlungen ein Zwangsarbeitsmodell aufgedeckt, bei dem Opfer von Menschenhandel als Operatoren für Finanzbetrug eingesetzt wurden.

Umfang und geografische Reichweite der Operation

Gemäß der offiziellen Erklärung von INTERPOL zielte die Operation auf die Zerschlagung von Phishing- und Malware-Infrastrukturen sowie auf die Bekämpfung von Cyberbetrug ab, der der Region erheblichen finanziellen Schaden zufügt. An der Operation beteiligten sich Algerien, Bahrain, Ägypten, Irak, Jordanien, Libanon, Libyen, Marokko, Oman, Palästina, Katar, Tunesien und die VAE.

Die wichtigsten länderspezifischen Ergebnisse verdeutlichen die Vielfalt der festgestellten Bedrohungen:

  • Algerien — eine Plattform für „Phishing as a Service“ (Phishing-as-a-Service, PhaaS) wurde zerschlagen. Beschlagnahmt wurden ein Server, ein Computer, ein Mobiltelefon sowie Festplatten mit Phishing-Software und -Skripten. Eine verdächtige Person wurde festgenommen.
  • Marokko — Computer, Smartphones und externe Speichermedien wurden sichergestellt, die Bankdaten und Werkzeuge für Phishing-Operationen enthielten.
  • Oman — in einem privaten Wohnobjekt wurde ein legitimer Server mit vertraulichen Informationen entdeckt, der mehrere kritische Schwachstellen aufwies und mit Malware infiziert war. Der Server wurde vom Netz genommen.
  • Katar — kompromittierte Geräte wurden identifiziert, deren Besitzer sich nicht darüber im Klaren waren, dass ihre Systeme zur Verbreitung bösartiger Bedrohungen genutzt wurden. Die Geräte wurden abgesichert und die Eigentümer informiert.
  • Jordanien — ein Computer wurde entdeckt, der für Finanzbetrug über eine gefälschte Handelsplattform eingesetzt wurde.

Es ist anzumerken, dass INTERPOL weder die konkreten Malware-Familien noch Indikatoren einer Kompromittierung oder Details zu den Schwachstellen der Server in Oman und Katar offengelegt hat, was die Möglichkeiten einer unabhängigen technischen Bewertung des Bedrohungsumfangs einschränkt.

Menschenhandel im Dienst des Cyberbetrugs

Die besorgniserregendste Entdeckung der Operation betraf Jordanien. Bei einer Durchsuchung wurden 15 Personen aufgefunden, die unmittelbar Betrugsoperationen über eine gefälschte Investmentplattform durchführten, die ihren Betrieb einstellte, sobald die Gelder der Opfer eingegangen waren. Die Ermittlungen ergaben jedoch, dass diese 15 Operatoren selbst Opfer von Menschenhandel waren – sie waren unter dem falschen Vorwand einer Arbeitsaufnahme aus asiatischen Ländern angeworben worden. Nach ihrer Ankunft in Jordanien wurden ihre Pässe eingezogen und sie wurden zur Teilnahme an dem Betrugsschema gezwungen. Zwei mutmaßliche Organisatoren wurden festgenommen.

Dieser Fall verdeutlicht die zunehmende Konvergenz von Cyberkriminalität und organisierter Kriminalität in der „realen Welt“. Das Modell des erzwungenen Cyberbetrugs, das zuvor in großem Umfang in Südostasien (Kambodscha, Myanmar, Laos) dokumentiert wurde, wird nun auch in der MENA-Region beobachtet, was auf eine geografische Ausweitung dieser Praxis hinweist.

Rolle des Privatsektors

In die Operation waren Unternehmen aus dem Privatsektor eingebunden. Group-IB mitteilte, dass das Unternehmen nachrichtendienstliche Informationen zu mehr als 5 000 kompromittierten Konten bereitgestellt habe, darunter solche mit Bezug zu staatlicher Infrastruktur, sowie Informationen über aktive Phishing-Infrastrukturen in der Region. Auch Team Cymru erklärte, die Operation unterstützt zu haben, und hob die Notwendigkeit der Koordination zwischen Strafverfolgungsbehörden und Privatsektor hervor.

Die Beteiligung von auf Threat Intelligence spezialisierten Unternehmen an solchen Operationen entwickelt sich zu einer Standardpraxis: Strafverfolgungsbehörden erhalten technische Expertise und Zugang zu Telemetriedaten, über die sie selbst nicht verfügen, während die Unternehmen eine Legitimierung ihrer nachrichtendienstlichen Fähigkeiten gewinnen.

Kontext: Welle strafverfolgungsbehördlicher Maßnahmen

Operation Ramz fügt sich in eine Reihe umfangreicher Strafverfolgungsaktionen der vergangenen Wochen ein. Zu den bedeutendsten zählen:

  • Dream Market — es wurden Anklage wegen Geldwäsche gegen Ove Martin Andresen (Speedstepper) erhoben, den mutmaßlichen Hauptadministrator des Darknet-Marktplatzes, der in Deutschland festgenommen wurde.
  • Crimenetwork — die neu gestartete Version des Marktplatzes (das Original war im Dezember 2024 zerschlagen worden) wurde abgeschaltet; der mutmaßliche Administrator – ein 35-jähriger deutscher Staatsbürger – wurde auf Mallorca festgenommen.
  • Kingdom MarketAdministrator Alan Bill aus Bratislava wurde zu 200 Monaten (mehr als 16 Jahren) Haft verurteilt, weil er Drogen, gestohlene Finanzdaten, gefälschte Dokumente und Malware vertrieben hat.
  • KryptowährungsbetrugMarlon Ferro (GothFerrari), 20 Jahre, wurde zu 78 Monaten Haft verurteilt, weil er an einem Social-Engineering-Schema beteiligt war, bei dem Kryptowährungen im Wert von mehr als 250 Millionen US‑Dollar erbeutet wurden. Das Schema kombinierte Online-Betrug mit physischen Diebstählen von Hardware-Wallets.
  • Löschen von RegierungsdatenSohaib Akhter wurde schuldig gesprochen, 96 Datenbanken mit Informationen der US‑Regierung gelöscht und ein Passwort im Klartext aus dem Portal der Equal Employment Opportunity Commission entwendet zu haben.

In ihrer Gesamtheit zeigen diese Maßnahmen eine systematische Verstärkung des Drucks auf die Infrastruktur der Cyberkriminalität in allen Bereichen – von Darknet-Marktplätzen bis hin zu Phishing-Plattformen und Social-Engineering-Schemata.

Praktische Empfehlungen

Die Ergebnisse der Operation Ramz machen mehrere praktische Prioritäten für Organisationen in der MENA-Region und darüber hinaus deutlich:

  • Audit der Serverinfrastruktur — der Fall in Oman zeigt, dass legitime Server mit kritischen Schwachstellen in privaten Netzen zu Einstiegspunkten für Kompromittierungen werden. Führen Sie eine Inventur aller Server durch, einschließlich derjenigen, die außerhalb der unternehmenseigenen Rechenzentren betrieben werden.
  • Überwachung kompromittierter Konten — mehr als 5 000 kompromittierte Accounts, darunter auch staatliche, deuten auf ein großangelegtes Abfließen von Zugangsdaten hin. Implementieren Sie ein Monitoring von Datenlecks und eine verpflichtende Passwortrotation für privilegierte Benutzerkonten.
  • Prüfung von Endpunkten — die Situation in Katar, in der die Gerätebesitzer nichts von der Kompromittierung wussten, unterstreicht die Notwendigkeit regelmäßiger Scans auf Malware und anomale Netzwerkaktivitäten.
  • Schulung von Mitarbeitenden — Phishing-Plattformen nach dem Modell „as a Service“ senken die Einstiegshürde für Angreifer und erhöhen Volumen und Qualität von Phishing-Angriffen. Aktualisieren Sie Awareness-Programme unter Berücksichtigung aktueller regionaler Muster.

Operation Ramz ist der erste Präzedenzfall für eine koordinierte Cyber-Polizeioperation dieses Ausmaßes in der MENA-Region. Ihr Hauptwert liegt weniger in der Anzahl der Festnahmen als in der Etablierung eines funktionierenden Modells für die zwischenstaatliche Zusammenarbeit in einer Region, in der eine derartige Koordination bislang fehlte. Organisationen, die in diesen Jurisdiktionen tätig sind, wird empfohlen, die Ergebnisse der Operation als Grundlage für eine Überprüfung ihrer eigenen Bedrohungsmodelle zu nutzen – insbesondere, um das Wachstum von „Phishing as a Service“-Plattformen und die Ausweitung von Zwangs-Cyberbetrugsschemata über Südostasien hinaus zu berücksichtigen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen