ENDGAME har ca. 2.2000 infektioner med Rhadamanthys – Ransomware, Kryptering, DeKryptering, Malware og Penetrationstest

Europols egen publikation om Operation Endgame indeholder oplysninger fra NSK om de ca. 2.200 danske enheder inficeret med Rhadamanthys. Læs om Delegated act og forordninger på cybersikkerhedsområdet
Er du berørt så ring til os på +45 31971111

Operation Endgame som global cyberoperation

Europols tværnationale operation Endgame er en af de mest omfattende cyberkriminalitetsoperationer, der nogensinde er gennemført på europæisk jord. Operationen forener efterforskning, teknisk retsanalyse, sagskoordinering og nedtagning af kriminelle infrastrukturer, der i årevis har været anvendt til at angribe myndigheder, private virksomheder og borgere i EU og globalt.

Med deltagelse fra Danmark, Canada, Frankrig, Tyskland, Holland, Storbritannien, USA og Eurojust er operationen blevet et benchmark for international cyberkoordinering i tilfælde med organiserede digitale aktører, avancerede botnets og sofistikerede malwaredistributioner.

Baggrund for operationens opstart

Endgame blev iværksat i maj 2024 efter flere år med stigende trusselsbilleder, hvor særligt botnets og credential-stealing malware udviklede nye kapaciteter. Efterforskningen identificerede store mængder sammenhængende infrastruktur kontrolleret af netværk af kriminelle i en række jurisdiktioner. Det viste sig under forløbet, at Rhadamanthys-malwaren alene havde inficeret mere end en halv million computere globalt.

Ifølge National enhed for Særlig Kriminalitet (NSK) var omtrent 2.200 af disse fra Danmark, hvilket understreger trusselsniveauet mod danske offentlige og private systemer, selv uden målrettede angreb mod danske myndigheder.

Malwaretypen Rhadamanthys og dens oprindelse

Rhadamanthys er kategoriseret som en information-stealer, typisk anvendt til at indsamle credentials fra browsere, betalingsinformationer, virksomhedslogin, multifaktor-tokens og adgange til sociale netværk og forretningskritiske systemer.

Malwaren distribueres typisk via phishing, markedsføringskampagner på Dark Web og via kompromitterede hjemmesider, der serverer exploit-sæt. I teknisk henseende er Rhadamanthys bygget til at være modulær, og operatørerne bag har over tid videreudviklet nye funktioner, der kan udvides uden at ændre kernestrukturen. Det fremgår af tekniske rapporter, at malwaren har en betydelig evne til at omgå detektering i moderne EDR-miljøer.

Efterforskningens metodiske tilgang

Den internationale efterforskning bag Endgame er karakteriseret ved en systematik, hvor digitale beviser, trafikdata, telemetri og serverlogfiler fra adskillige jurisdiktioner samles under Europol og Eurojust med henblik på sagskoordination efter kriminalkompetencereglerne i EU.

Retsgrundlaget for dataudveksling følger navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/794 om Europol og rammeafgørelse 2002/465/RIA om fælles efterforskningshold. For Danmarks vedkommende er det politilovens kapitel 2 og retsplejelovens regler om international strafferetlig bistand, der giver hjemmel til deltagelse.

Nedtagning af servere og infrastrukturer

Under operationens gennemførelse blev der identificeret og nedtaget en betydelig mængde servere, både i Europa og udenfor EU’s område. Europol offentliggjorde i flere pressemeddelelser, at hundredvis af servere blev beslaglagt som led i operationen. Endgame-indsatsen i 2025 omfattede fjernelse af omtrent 300 servere og 650 domæner i en supplerende fase.

Danmark var her aktiv deltager i både analysen og de operative skridt, der førte til nedtagningerne, særligt som følge af adgang til data fra de 2.200 danske enheder ramt af Rhadamanthys.

Teknisk bevisikring i dansk kontekst

NSK’s rolle under operationen var central, idet dansk politi har betydelige kapaciteter til digital sporsikring, data carving, live systemindsigt via § 791 d i retsplejeloven og rekonstruktion af hændelsesforløb ved hjælp af netværksforensics. NSK rapporterede, at bidragene omfattede både teknisk dataudtræk og bidrag til attributation, som blev forelagt Europol til sammenkørsel.

Den danske retspraksis om digitale beslaglæggelser, herunder U.2020.3160H, som omhandler beslaglæggelse af servermateriale i større cybercrime-sager, illustrerer rammen for tvangsindgreb i digitale miljøer.

International jurisdiktion og ansvarsplacering

Cyberangreb overskrider typisk jurisdiktioner. Dermed spiller folkeretten og EU’s cybersikkerhedsretlige instrumenter en central rolle. Særligt artikel 3 i Budapest-konventionen (Europarådets konvention om cyberkriminalitet) udgør fundamentet for grænseoverskridende bevisindsamling.

Danmark har ratificeret konventionen og inkorporeret reglerne i straffelovgivningen. Jurisdiktionen til at retsforfølge operatørerne bag Rhadamanthys hviler derfor på både national ret og internationale aftaler, og hver enkelt operatør vil afhængigt af nationalt opholdssted være underlagt de lokalt gældende strafbestemmelser.

Retsgrundlag i dansk og europæisk ret

Straffelovens § 263, § 291 og § 279 omfatter blandt andet uberettiget adgang til IT-systemer, databedrageri og skade på informationssystemer. Disse anvendes typisk i domspraksis ved alvorlige IT-angreb. EU’s NIS2-direktiv, implementeret i dansk ret via lov om cybersikkerhed (lov nr. 93 af 24. januar 2024), forpligter statslige organer, kritisk infrastruktur og leverandører til at iværksætte betydelige tekniske og organisatoriske sikkerhedsforanstaltninger, hvilket i praksis betyder, at danske aktører er særligt forpligtede til at kunne identificere og rapportere hændelser som dem, der er omfattet af Endgame.

Endgame som præcedens for dansk cybersikkerhed

Endgame har skabt en ny standard for, hvordan dansk politi og danske virksomheder fremover vil blive involveret i internationale IT-efterforskninger. Ikke mindst understreger de 2.200 inficerede danske enheder, at Danmark ikke står udenfor trusselszonen.

Snarere viser tallene, at danske systemer er attraktive mål for aktører, der søger adgang til logininformationer og finansielle data, som kan udnyttes i videre angreb, inklusive BEC-svindel og supply chain-manipulation.

Samarbejdet mellem danske myndigheder og leverandører

I den nationale kontekst spiller leverandører som icare.dk en rolle i den forebyggende del af cybersikkerheden. Politiet opfordrer eksplicit samarbejdspartnere til at formidle information om operationen, herunder brug af billeder og informationsmateriale, netop fordi netop denne kommunikationsindsats skal øge bevidstheden hos borgere og virksomheder om karakteren af Rhadamanthys og lignende malware. Informationsindsatser understøttes af politilovens § 2 om politiets opgaver, der også omfatter forebyggelse af kriminalitet ved oplysning til offentligheden.

Europæiske koordinationsmekanismer

Europol yder løbende analytisk støtte i form af facilitering af det europæiske cybercrime center (EC3). EC3’s eksperter foretager både malware-analyse, attributionsvurderinger og tekniske vurderinger på baggrund af de datapakker, landene leverer.

Operationens fælles karakter betyder, at data fra Danmark indgår på lige fod med data fra fx Frankrig og Holland. Koordinationsmøder mellem anklagemyndighederne foregår i Eurojust, der bistår med beslutningstagning i spørgsmål om jurisdiktion, udleveringsordrer og frysning af aktiver i henhold til forordning (EU) 2018/1805 om gensidig anerkendelse af afgørelser om indefrysning og konfiskation.

Retspraksis om lignende sager

Der findes en række relevante domme i EU og Danmark, der belyser strafansvaret ved cyberangreb. Eksempler er

EU-Domstolens sag C-582/14 om logningsdata og databeskyttelse
Østre Landsrets dom U.2019.824Ø om uretmæssig adgang til virksomhedens interne systemer
Højesterets sag U.2020.3160H om beslaglæggelse af servere ved organiseret cyberkriminalitet
National ret om medvirken ved botnet-drift, herunder principper om forsæt og viden efter straffelovens almindelige del

Disse afgørelser udgør vigtige præmisser i den juridiske vurdering af operatørernes ansvar i Endgame.

Fremadrettet betydning for danske selskaber

De mange kompromitterede danske computere har betydning for compliance-krav i både offentlige og private virksomheder. Forordning (EU) 2016/679 (GDPR) indeholder krav om anmeldelse af sikkerhedsbrud, når personoplysninger er kompromitteret. Rhadamanthys’ karakter som datastjælende malware betyder, at hændelser omfattet af Endgame potentielt kan udløse anmeldelsespligt til Datatilsynet.

I praksis vil virksomheder med utilstrækkelige sikkerhedsforanstaltninger risikere at blive vurderet efter Datatilsynets afgørelser, eksempelvis afgørelsen af 9. juni 2022 (journalnummer 2021-442-2204), hvor utilstrækkelig adgangskontrol udløste sanktioner.

Trusselsvurdering i et bredere perspektiv

Når det konstateres, at over en halv million globale enheder og mere end 2.200 danske computere er inficeret, viser det samtidigheden i moderne cybertrusler. Trusselsaktører ser ikke nationale grænser. En server kompromitteret i Danmark kan indgå i en kæde af internationale angreb mod finansielle institutioner, forsyningsselskaber eller sundhedssektoren i andre EU-lande. Analysen af disse sammenhænge er netop en af grundene til, at Europol prioriterede Endgame som en af de vigtigste operationer i 2024 og 2025.

Betydningen af domænenedtagninger

De mange domæner, der blev fjernet som led i Endgame, er en hjørnesten i at afskære angriberne fra deres command-and-control-infrastruktur. Nedtagningsordren blev gennemført efter samarbejde mellem nationale retlige myndigheder og internationale registratorer. Retligt set gennemføres disse typisk efter beslaglæggelsesregler i national ret. Domænenedtagninger har tidligere været forelagt domstolene i en række europæiske sager, bl.a. den tyske sag AG Verden 20 Ls 409 Js 9277/18, hvor domstolen godkendte beslaglæggelse af botnet-domæner.

Forholdet mellem offentlige og private aktører

Cybersikkerhed kræver samarbejde mellem politi, myndigheder, erhvervsdrivende og tekniske leverandører. I praksis betyder det, at danske selskaber, der leverer teknologi til politiet, som icare.dk, også spiller en rolle i det proaktive oplysningsarbejde. Oplysningsarbejdet supplerer politiets egne advarsler og giver borgerne et bredere indblik i trusselsbilledet. Offentligheden forventes at forstå karakteren af Rhadamanthys og lignende malwaretyper, da det er en forudsætning for at reducere angrebsfladen.

Konsekvenserne for internationale gengangere

En række personer er blevet anholdt i forbindelse med Endgame. Europol rapporterede blandt andet om arrestationer i flere EU-lande. Arrestationerne knytter sig til både drift, distribution og udvikling af botnets. I EU gælder Rådets rammeafgørelse 2002/584/RIA om den europæiske arrestordre, som muliggør hurtig udlevering af mistænkte mellem medlemslandene.

Danmark benytter ordningen under parallelaftalen, hvilket gør det muligt at udlevere bagmændene hurtigt. Praksis viser, at bagmænd ved cyberangreb ofte har tilknytning til flere lande, hvilket komplicerer bevisførelse, men som Europol netop har gjort muligt gennem centraliseret analyse.

Betydningen for erhvervslivet i Danmark

Danske virksomheder står overfor skærpede krav til cybersikkerhed, og operationer som Endgame skaber præcedens for, hvilke forventninger der stilles til logning, hændelsesrapportering og organisatoriske sikkerhedstiltag. NIS2 og GDPR forpligter danske organisationer til rettidig håndtering af brud og sikring af robuste processer for adgangsstyring. Endgame illustrerer, at selv store internationale kriminelle botnets kan ramme danske virksomheder uden, at de selv er opmærksomme på kompromitteringen, hvilket medfører høje compliance-risici.

Inddragelse af offentlige forvaltningsmyndigheder

Flere af de danske systemer, der var kompromitteret, var potentielt knyttet til offentlige institutioner eller leverandørmiljøer. Det betyder, at statslige myndigheder skal leve op til forvaltningsretlige krav om beskyttelse af oplysninger, herunder offentlighedslovens § 14 om undtagelse af fortrolige oplysninger, og databeskyttelseslovens § 22 om sikkerhedsforanstaltninger. Offentlige enheder er derfor særligt forpligtet til at følge op på hændelser som Endgame med risikovurderinger og revisionsforløb.

Hvad er Endgame?

Udviklingen inden for avancerede teknologier skaber betydelige muligheder for samfundet, men disse fremskridt kan på samme måde udnyttes af aktører med skadevoldende hensigter. Når sådanne teknologier havner i de forkerte hænder, kan de fungere som effektive redskaber til organiseret cyberkriminalitet. Et centralt eksempel herpå er cyberkriminelles anvendelse af botnets.

Et botnet består af computere og andre enheder, der uden ejernes viden er blevet inficeret med skadelig software. Infektionen giver gerningspersonerne mulighed for at fjernkontrollere enhederne og anvende dem til alt fra datatyveri til angreb mod virksomheder og myndigheder. Infektionerne begynder som udgangspunkt med såkaldte droppers, som er en form for skadelig software udviklet til at installere yderligere malware på målsystemer.

Droppers anvendes som regel i de indledende faser af et angreb, hvor formålet er at omgå sikkerhedslagene i de berørte systemer. Når droppers først har skabt adgang, muliggør de installation af yderligere skadelige komponenter, herunder virus, ransomware, spyware eller andre programmer, der kan kompromittere hele infrastrukturer.

Operation Endgame indgår i et større internationalt initiativ, som har til mål at afbryde og nedbryde botnets på globalt niveau. Operationen hører til blandt de mest omfattende aktioner, der nogensinde er iværksat mod denne type kriminalitet.

Gennem hele operationens levetid yder Europol og Joint Cybercrime Action Taskforce (J-CAT) støtte til de deltagende medlemsstater. Støtten består blandt andet i koordinering af informationsudveksling mellem myndighederne samt i at levere analytisk og teknisk bistand, herunder digital efterforskning og retsmedicinsk databehandling.

Operation Endgame har fire hovedformål:

• At forstyrre og nedtage den infrastruktur, der anvendes til at understøtte ransomwareangreb.
• At identificere, målrette og neutralisere malware, der benyttes som adgangsvektor til ofres systemer.
• At beslaglægge kriminelle aktiver, herunder kryptovaluta.
• At følge op på spor og identificere bagmænd ved at knytte onlinealiaser og brugernavne til fysiske personer.

Kilde: Europol, ICARE A/S
Fotokredit: europol
Personer/Firmaer/Emner/#: #OperationEndgame, #Europol, #NSK, #Eurojust, #Rhadamanthys, #Cybercrime, #Malware, #Danmark
Copyrights: Ⓒ 2025 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.