Die Operation Ramz erstreckte sich über 13 Länder: Algerien, Bahrain, Ägypten, Irak, Jordanien, Libanon, Libyen, Marokko, Oman, Palästina, Katar, Tunesien und die Vereinigten Arabischen Emirate. Laut INTERPOL handelt es sich um die erste Aktion dieser Art in der Region.

In Algerien zerschlugen die Behörden einen Phishing-as-a-Service-Dienst (PhaaS), nachdem dessen Server beschlagnahmt worden war. Sichergestellt wurden zudem ein Computer, ein Mobiltelefon sowie Festplatten mit Phishing-Software und entsprechenden Skripten. Ein Verdächtiger wurde in diesem Zusammenhang festgenommen. In Marokko stellten die Ermittler Computer, Smartphones und externe Festplatten sicher, die Bankdaten und für Phishing-Operationen genutzte Software enthielten.

Im Oman identifizierten die Behörden einen legitimen Server in einem Privathaus, auf dem sensible Informationen lagen. Das System wies mehrere kritische Sicherheitslücken auf und war mit Malware infiziert; INTERPOL zufolge wurde der Server außer Betrieb genommen. Einen ähnlichen Fall gab es in Katar, wo kompromittierte Geräte entdeckt wurden, ohne dass deren Besitzer wussten, dass ihre Systeme zur Verbreitung schädlicher Bedrohungen missbraucht wurden. Die Geräte wurden gesichert und die Eigentümer auf nötige Schutzmaßnahmen hingewiesen.

In Jordanien stieß die Polizei auf einen Computer, der für Anlagebetrug genutzt wurde: Nutzer wurden dazu verleitet, ihr Vermögen über eine scheinbar seriöse Handelsplattform zu investieren, die nach Eingang der Gelder abgeschaltet wurde. Bei einer Razzia trafen die Ermittler auf 15 Personen, die die Betrugsmaschen ausführten. Wie INTERPOL mitteilte, stellte sich heraus, dass diese selbst Opfer von Menschenhandel waren: Sie waren in ihren Herkunftsländern in Asien mit falschen Jobversprechen angeworben worden. Nach ihrer Ankunft in Jordanien wurden ihnen die Pässe abgenommen, und sie wurden zur Teilnahme an dem Betrug gezwungen. Zwei mutmaßliche Drahtzieher wurden festgenommen.

Beteiligt waren auch Unternehmen aus der Privatwirtschaft. Group-IB stellte nach eigenen Angaben verwertbare Erkenntnisse zu mehr als 5.000 kompromittierten Konten bereit, darunter solche mit Bezug zu staatlicher Infrastruktur, und teilte Details über aktive Phishing-Infrastruktur in der Region. Joe Sander, CEO von Team Cymru, erklärte, Cyberkriminalität kenne keine Grenzen und lasse sich nur durch eine ebenso grenzüberschreitende Antwort bekämpfen, bei der Strafverfolgung und vertrauenswürdige Partner aus der Privatwirtschaft ihre Erkenntnisse bündeln und die Infrastruktur der Kriminellen gemeinsam zerschlagen.

Die Festnahmen fallen zusammen mit einer Reihe von Maßnahmen der Strafverfolgung, die zuletzt in Deutschland und vom US-Justizministerium (DoJ) bekannt gegeben wurden. Die US-Staatsanwältin Jeanine Ferris Pirro beschrieb dabei ein Schema, das ausgefeilten Online-Betrug mit klassischem Einbruch verband, um Opfern digitale Vermögenswerte in Millionenhöhe zu entziehen. Die Beteiligten hätten gezielt Personen mit vermuteten hohen Kryptobeständen ins Visier genommen und sie durch aufwändige Betrugsmaschen zur Preisgabe des Zugangs zu ihren digitalen Wallets gebracht. Bewahrten Opfer ihre Kryptowährung in Hardware-Wallets auf – physischen Geräten, auf die nicht aus der Ferne zugegriffen werden kann –, griff die Gruppe laut Pirro auf einen Mittäter namens Ferro zurück.