Eine koordinierte internationale Polizeiaktion hat erfolgreich eine der größten Plattformen für Malware-Tests im Darknet lahmgelegt. Der Dienst AVCheck, der Cyberkriminellen dabei half, ihre Schadsoftware gegen kommerzielle Antivirenprogramme zu testen, wurde durch gemeinsame Anstrengungen amerikanischer und europäischer Strafverfolgungsbehörden geschlossen.
Funktionsweise der Malware-Testplattform AVCheck
AVCheck operierte als spezialisierte Plattform, die es Hackern ermöglichte, ihre Schadsoftware vor dem Einsatz auf Erkennbarkeit durch Antivirenprogramme zu prüfen. Diese Vorgehensweise erhöhte die Erfolgsquote von Cyberangriffen erheblich, da Kriminelle ihre Tools präventiv an bestehende Sicherheitssysteme anpassen konnten.
Nach Angaben der niederländischen Polizei gehörte AVCheck zu den umfangreichsten internationalen Plattformen zur Umgehung von Antivirenschutz. Der Service bot Cyberkriminellen die Möglichkeit, die Tarnung ihrer Malware zu bewerten und deren Fähigkeit zu testen, moderne Cybersicherheitslösungen zu umgehen.
Details der internationalen Ermittlungsoperation
Die Schließung von AVCheck resultierte aus koordinierten Maßnahmen des US-Justizministeriums, des FBI, des US Secret Service und der niederländischen Polizei. Auf der offiziellen Domain avcheck[.]net ist nun ein Banner platziert, der über die Schließung durch Strafverfolgungsbehörden informiert.
Besonders bemerkenswert war der Einsatz einer Honeypot-Taktik – vor der endgültigen Schließung platzierten die Behörden eine gefälschte Anmeldeseite. Diese Maßnahme diente nicht nur der Warnung vor rechtlichen Risiken, sondern ermöglichte auch die Sammlung wertvoller Daten über Personen, die Zugang zur Plattform suchten.
Verbindungen zu Kryptierungsdiensten
Die Ermittlungen deckten direkte Verbindungen zwischen AVCheck-Administratoren und Betreibern der Kryptierungsdienste Cryptor[.]biz und Crypt[.]guru auf. Der erste Service wurde ebenfalls von den Behörden geschlossen, während der zweite nach Operationsbeginn eigenständig den Betrieb einstellte.
Kryptierungsdienste spielen eine zentrale Rolle im Cyberkriminalitäts-Ökosystem und stellen Werkzeuge zur Verschlüsselung und Verschleierung von Malware bereit. Das typische Vorgehen der Kriminellen umfasst drei Phasen: Verschleierung der Malware durch Kryptierungsdienste, Tests über Plattformen wie AVCheck und anschließender Einsatz in realen Angriffen.
Operation Endgame und ihre Reichweite
Die AVCheck-Schließung war Teil der umfassenden internationalen Kampagne Operation Endgame. Im Rahmen dieser im Frühjahr 2025 durchgeführten Operation beschlagnahmten Strafverfolgungsbehörden 300 Server und 650 Domains, die zur Unterstützung von Ransomware-Angriffen genutzt wurden.
Weitere Erfolge der Operation umfassten die Zerschlagung des DanaBot-Botnetzes und Verhaftungen von Smokeloader-Netzwerk-Kunden. Diese Aktionen demonstrieren einen ganzheitlichen Ansatz im Kampf gegen organisierte Cyberkriminalität auf internationaler Ebene.
Ermittlungsmethoden und verdeckte Operationen
Laut US-Justizministerium gelang der Nachweis der illegalen Aktivitäten von AVCheck durch verdeckt agierende Ermittler. Geheimdienst-Mitarbeiter tätigten Käufe unter falscher Identität, was eine detaillierte Untersuchung der Service-Funktionalitäten und die Aufdeckung von Verbindungen zu Ransomware-Angriffen auf amerikanische Organisationen ermöglichte.
Die erfolgreiche Zerschlagung von AVCheck und verwandten Kryptierungsdiensten stellt einen bedeutenden Schlag gegen die internationale Cyberkriminalitäts-Infrastruktur dar. Der Erfolg der Operation Endgame unterstreicht die Bedeutung internationaler Zusammenarbeit im Bereich Cybersicherheit und zeigt die Wirksamkeit proaktiver Ansätze zur Bedrohungsabwehr bereits in der Vorbereitungsphase, anstatt nur auf bereits erfolgte Angriffe zu reagieren.
