Europol og otte lande har lammet infrastrukturen bag tre af verdens mest brugte malware-familier.
Dansk politi har spillet en aktiv rolle i Operation Endgame, der mellem den 15. og 19. juni 2026 tog 326 servere og 142 domæner ud af drift. Aktionen ramte de tre malware-typer SocGholish, Amadey og StealC, som bruges til at bryde ind i computere og stjæle brugernavne og adgangskoder.
Under aktionen beslaglagde efterforskerne 27 millioner sæt stjålne loginoplysninger, oplyser Europol i sin pressemeddelelse. Samtidig blev kryptovaluta for omkring 41 millioner euro, svarende til cirka 300 millioner kroner, frosset.
Otte lande stod bag aktionen
Otte lande deltog i den koordinerede indsats: Tyskland, Belgien, Danmark, Frankrig, Holland, Storbritannien, USA og Canada. Fra dansk side deltog både dansk politi og Anklagemyndigheden, oplyser Eurojust, som stod for den retlige koordinering.
Aktionen blev offentliggjort den 24. juni og er den fjerde runde af Operation Endgame, der siden 2024 har jagtet den kriminelle infrastruktur bag ransomware og datatyveri. Tyskland stod for den operative ledelse via Bundeskriminalamt i samarbejde med anklagemyndigheden i Frankfurt.
StealC står bag hovedparten af de stjålne konti
De tre malware-familier fungerer som led i en kæde. SocGholish spredes via falske browser-opdateringer på hackede hjemmesider og skaffer den første fodfæste på ofrets computer. Amadey installeres bagefter som såkaldt dropper og henter ekstra skadelig kode ned. StealC står for selve tyveriet af adgangskoder, cookies og digitale identiteter fra den inficerede maskine.
Ud af de 27 millioner sæt loginoplysninger har forskere identificeret 25,6 millioner unikke stjålne logins på tværs af mere end 385.000 kompromitterede systemer, skriver Infosecurity Magazine med henvisning til data fra Microsofts Digital Crimes Unit. Alene i de første to uger af maj 2026 blev Amadey og StealC koblet til over 140.000 inficerede computere verden over.
“Når flere dele af en operation forstyrres samtidig, er angreb sværere at iværksætte, skalere og komme sig efter,” siger Steven Masada, Assistant General Counsel i Microsofts Digital Crimes Unit.
Sådan tjekker du, om din konto er ramt
Data fra aktionen er blevet delt med tjenesten Have I Been Pwned, hvor almindelige brugere kan tjekke, om deres e-mailadresse eller adgangskode indgår i lækagen. Tjenesten fik den 18. juni tilført omkring 4 millioner e-mailadresser og 9 millioner adgangskoder fra StealC-lækagen, ifølge Have I Been Pwned.
Indtast din e-mailadresse på haveibeenpwned.com. Hvis du får et rødt hit, bør du med det samme skifte adgangskoden alle de steder, du har brugt den. Har du genbrugt den samme kode på tværs af flere tjenester, gælder det også dem alle.
StealC spredes typisk gennem falske downloadlinks til gratis programmer, cracks af betalt software og phishing-mails med vedhæftede filer. Undgå at hente programmer fra andre steder end producentens egen hjemmeside, og slå to-faktor-godkendelse til på netbank, e-mail og MobilePay, hvor det er muligt. Det gør en stjålen adgangskode langt mindre farlig i praksis.