Nach Darstellung von Will Thomas trat die Strafverfolgung – wie bei den meisten solchen Einsätzen – mit der Anfrage an Team Cymru heran. Das Unternehmen versteht sich als strategischer Partner aus dem Privatsektor für mehrere Polizei- und Ermittlungsbehörden weltweit und erhält dabei zumeist anlassbezogene Anfragen per E-Mail. Operation Sentinel war 2025 nicht der einzige derartige Einsatz: Thomas nennt zudem die Interpol-Operationen Serengeti, MENA und Synergia.

Der technische Kern von Team Cymrus Beitrag liegt im Verfolgen der Infrastruktur solcher Tätergruppen. Dabei geht es um zwei Fragen: Wo werden die IP-Adressen betrieben, die die Werkzeuge der Ransomware-Banden hosten – und wer steuert diese Server aus der Ferne? Über sogenannte NetFlow-Daten, die das Unternehmen aus Hunderten Partnerschaften weltweit bezieht, lassen sich beide Seiten einer Verbindung sichtbar machen.

Als Beispiel führt Thomas das verbreitete Angriffswerkzeug Cobalt Strike an. Team Cymru scannt das Internet danach, wo entsprechende Server gehostet sind, und erkennt anhand der NetFlow-Daten, wenn ein Unternehmensnetz – etwa über ein Enterprise-Gateway oder eine WAN-IP – mit einer schädlichen Cobalt-Strike-IP kommuniziert. Sprechen beide Seiten miteinander, ist ein Opfer identifiziert. Thomas verweist außerdem auf sein eigenes Projekt, die “Ransomware Tool Matrix”, die die Werkzeuge von über 100 verfolgten Ransomware-Gruppen erfasst.

Warum es eine internationale Behörde wie Interpol braucht, erklärt Thomas mit den Grenzen nationaler Zuständigkeit: Eine Polizeibehörde kann in der Regel erst tätig werden, wenn es ein Opfer in ihrem Hoheitsgebiet gibt. Da Täter etwa aus einem Land heraus einen Server in einem zweiten betreiben und Opfer in einem dritten angreifen können, koordiniert Interpol die Zusammenarbeit der beteiligten afrikanischen Polizeikräfte und die nötigen juristischen Schritte. Team Cymru liefert dafür die technischen Belege, mit denen die Behörden vom bloßen Verdacht zu konkreten Maßnahmen übergehen können.

Thomas ordnet Operation Sentinel in eine längere Entwicklung ein. In seinen Anfangsjahren in der Cyber Threat Intelligence um 2019 hätten große Malware-Loader-Botnetze wie Emotet, TrickBot, QakBot und IcedID dominiert, die Werkzeuge wie Cobalt Strike nachluden und so den Weg für Ransomware ebneten. Nach koordinierten Abschaltungen – darunter die von Europol koordinierte Operation Endgame, an der Team Cymru ebenfalls beteiligt ist – sei diese Bedrohung weitgehend verschwunden. Der Erstzugang für Ransomware-Banden dezentralisiere sich nun und verlagere sich hin zu InfoStealer-Malware, der Ausnutzung von Edge-Geräten sowie Brute-Force-Angriffen auf SSH und RDP.

Auch im Ransomware-Ökosystem selbst sieht Thomas einen Wandel durch wachsenden Ermittlungsdruck. Er nennt die von Großbritannien geführte Operation Chronos gegen die Gruppe LockBit als Beispiel dafür, dass das Säen von Misstrauen – das Beschädigen des Rufs der Kriminellen und die monatelange Überwachung samt Übernahme ihrer Darknet-Infrastruktur – das Ökosystem nachhaltig störe. Frei verfügbare Werkzeuge auf Plattformen wie GitHub und im Untergrund führten jedoch dazu, dass Gruppen sich nach Berichterstattung schnell auflösen und unter neuem Namen wieder auftauchen.