europol maakt netwerken van stealc en amadey stil, 27 miljoen credentials teruggevonden

2026-06-26 buitenland

Den Haag, vrijdag, 26 juni 2026.
Europese en internationale politiediensten hebben in operatie endgame de infrastructuur van de infostealers StealC en Amadey ontregeld. Rechercheurs namen honderden servers en domeinen over en troffen ongeveer 27 miljoen gestolen inloggegevens aan. Ook werden criminele crypto‑tegoeden ter waarde van meer dan €41 miljoen geïdentificeerd en geblokkeerd. Microsoft, Europol en meerdere private securitybedrijven leverden technische en juridische steun. StealC roofde wachtwoorden, cookies en wallets. Amadey functioneerde als loader die verdere malware uitrolde. De actie richtte zich op de ‘assembly line’ die toegang verkoopt aan ransomware‑groepen en access brokers. Slachtoffers lopen nog risico. Gestolen credentials blijven bruikbaar zolang wachtwoorden en sessietokens niet zijn gewijzigd. Instanties adviseren wachtwoordrotatie, inschakelen van tweefactorauthenticatie en monitoring van verdachte aanmeldingen. De operatie toont het effect van grensoverschrijdende samenwerking tegen grootschalige digitale criminaliteit.

land

Deze operatie speelde zich in meerdere Europese landen af. Europol en Eurojust coördineerden acties binnen Europa en daarbuiten, met betrokkenheid van nationale politiediensten uit landen zoals Nederland, Duitsland, Denemarken en het Verenigd Koninkrijk, plus partners in Noord‑Amerika en private securitybedrijven [7][4][3]. De melding werd publiek op 24 juni 2026 door Microsoft en Europol, waarna nationale procedures en beslagleggingen in meerdere jurisdicties volgden [5][2].

wat er precies is uitgeschakeld

Onder Operation Endgame namen onderzoekers honderden servers en domeinen over en haalden ze offline. Rapporten spreken van het uitschakelen van honderden servers en meer dan honderd domeinen; meerdere bronnen noemen concrete aantallen zoals 326 servers en 142 domeinen en ongeveer 27 miljoen gestolen credentials die zijn teruggevonden [3][4][7]. Ook werden criminele cryptobezittingen geïdentificeerd en deels geblokkeerd, naar schatting meer dan €41 miljoen (circa $47 miljoen) aan tegoeden [4][3].

technische rol van stealc en amadey

StealC fungeert als infostealer die wachtwoorden, browsercookies, sessietokens en crypto‑walletdata exfiltreert. Amadey werkt als loader/maas‑component die StealC en andere payloads installeert. Microsoft beschreef de modulaire architectuur, C2‑communicatie en de inzet van loaders en plugins voor credential theft en file exfiltration [2][5]. Analyses tonen RC4‑geëncrypteerde C2‑postverkeer, uitgebreide fingerprinting van systemen en de mogelijkheid tot het uitschakelen van functies op Russische/Oekraïense systemen [2].

impact voor slachtoffers en aanbevolen acties

Gestolen credentials blijven bruikbaar zolang wachtwoorden, sessietokens en MFA‑instellingen niet zijn gewijzigd. Instanties en private partners adviseren getroffen gebruikers wachtwoorden te wijzigen, tweefactorauthenticatie in te schakelen en verdachte aanmeldingen te monitoren [4][2]. Microsoft raadt ook tijdige incidentrespons, rotatie van tokens en het invalidatie van sessiecookies aan voor risicovolle accounts [2][6]. Slachtoffers kunnen nog risico lopen ondanks de infrastructuurtakedown, omdat offline halen geen besmette endpoints zuivert [1][5].

belang van grensoverschrijdende samenwerking

De operatie illustreert dat grensoverschrijdende publiek‑private samenwerking de ‘assembly lines’ van cybercriminaliteit kan verstoren. Europol, nationale politiediensten en bedrijven zoals Microsoft, Bitdefender, ESET en andere gaven technische en juridische ondersteuning bij domeinseizures, gerechtelijke bevelen en analyse met AI‑tools [5][4][3]. De actie toonde ook aan dat het terugvorderen of blokkeren van criminele crypto‑fondsen en het ontmantelen van C2‑infrastructuur mogelijk is met gecoördineerde acties over jurisdicties heen [7][6].

Bronnen

malware gegevensdiefstal