Između 27. i 29. svibnja 2024. Operacija Endgame, koordinirana iz Europolovog sjedišta, ciljala je na dropere uključujući IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee i Trickbot. Akcije su bile usmjerene na ometanje kriminalnih usluga uhićenjem visokovrijednih meta, rušenjem kriminalne infrastrukture i zamrzavanjem nezakonite dobiti.
Ovaj pristup imao je globalni utjecaj na ekosustav kapaljki. Zlonamjerni softver, čija je infrastruktura srušena tijekom dana akcije, omogućio je napade ransomwareom i drugim zlonamjernim softverom. Nakon dana akcije, osam bjegunaca povezanih s ovim kriminalnim aktivnostima, koje traži Njemačka, bit će dodani na popis najtraženijih u Europi 30. svibnja 2024. Pojedinci se traže zbog njihove umiješanosti u ozbiljne aktivnosti kibernetičkog kriminala.
Ovo je dosad najveća operacija protiv botneta, koji igraju glavnu ulogu u postavljanju ransomwarea. Operaciju koju su pokrenule i vode Francuska, Njemačka i Nizozemska također je podržao Eurojust, a uključile su Dansku, Ujedinjeno Kraljevstvo i Sjedinjene Države.
Osim toga, Armenija, Bugarska, Litva, Portugal, Rumunjska, Švicarska i Ukrajina također su podržale operaciju različitim radnjama, poput uhićenja, intervjuiranja osumnjičenika, pretresa i zapljene ili uklanjanja poslužitelja i domena. Nekoliko privatnih partnera na nacionalnoj i međunarodnoj razini, uključujući Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, abuse.ch i Zscaler također je podržalo operaciju .
Koordinirane akcije dovele su do 4 uhićenja (1 u Armeniji i 3 u Ukrajini), 16 pretraga lokacije, više od 100 oborenih ili prekinutih servera u Bugarskoj, Kanadi, Njemačkoj, Litvi, Nizozemskoj, Rumunjskoj, Švicarskoj, Ujedinjenom Kraljevstvu, Ujedinjenom Kraljevstvu Državama i Ukrajini, te stavio preko 2 000 domena pod kontrolu organa za provođenje zakona. Nadalje, dosadašnjim istragama otkriveno je da je jedan od glavnih osumnjičenika zaradio najmanje 69 milijuna eura u kriptovaluti iznajmljivanjem stranica kriminalne infrastrukture za postavljanje ransomwarea. Transakcije osumnjičenika se stalno prate i već je dobiveno zakonsko dopuštenje za pljenidbu ove imovine u budućim radnjama.
Europol je omogućio razmjenu informacija i pružio analitičku, kriptografsku i forenzičku podršku istrazi. Kako bi podržao koordinaciju operacije, Europol je organizirao više od 50 koordinacijskih poziva sa svim zemljama kao i operativni sprint u svom sjedištu. Preko 20 službenika za provođenje zakona iz Danske, Francuske, Njemačke i Sjedinjenih Država podržavalo je koordinaciju operativnih akcija iz zapovjednog mjesta u Europolu i stotine drugih službenika iz različitih zemalja uključenih u akcije. Osim toga, virtualno zapovjedno mjesto omogućilo je koordinaciju u stvarnom vremenu između armenskih, francuskih, portugalskih i ukrajinskih časnika raspoređenih na licu mjesta tijekom aktivnosti na terenu.