Hacker-Gruppen erpressen Firmen. Auch namhafte Schweizer Firmen sind durch Datendiebstahl der Gruppierung Hunters International (ehemals World Leaks) betroffen. Der ausgewiesene Cybersecurity Experte Marc Ruef wird zu diesem internationalen Fall interviewt. NZZ Interview, SRF Interview.

Machen wir die Welt einen sichereren Ort, profitieren auch Sie von unserer Erfahrung und Expertise.

Haben Sie Informationen oder eine Einschätzung dazu, wie der Angriff erfolgt ist?

Die Verantwortung für den Angriff übernimmt die Gruppierung «World Leaks». Diese hiess noch bis Ende des letzten Jahres «Hunters International» und war eine klassische Ransomware-Gruppierung. Mit dem Rebranding Anfang 2025 haben sie sich aber vom Verschlüsseln von kompromittierten Systemen abwendet und fokussieren sich nur noch auf den Datendiebstahl und die damit einhergehende Erpressung.

Die Gruppierung ist nicht dafür bekannt, spezifische oder spezielle Schwachstellen auszunutzen. Klassische Taktiken wie Phishing, ungeschützte Fernzugänge oder das Ausnutzen schlecht geschützter Systeme sind deshalb naheliegend.

Hinter dem Hackerangriff steckt Berichten zufolge die Gruppe Hunters International. Woher kommt die Gruppe und wer steht dahinter?

Die genaue Herkunft der Gruppierung ist unbekannt. Es gibt verschiedene Indizien, dass die Mitglieder aus der Cybercrime-Szene in Russland stammen. Unter anderem ist auffällig, dass keines der Opfer in Russland auszumachen ist.

Hunters International ist mit dem Angriff nicht zum ersten Mal in der Schweiz in Erscheinung getreten. Im Februar gab es bereits einen Angriff auf die Ausgleichskasse von Swissmem. Wo ist die Gruppe sonst noch aufgetreten?

Die jüngsten Attacken sind hauptsächlich in den USA, aber auch in Kanada, Australien, Belgien und Kolumbien zu beobachten. Cyberkriminelle suchen das schnelle Geld. Selten wird da konsequent an etwelchen politischen oder geografischen Grundsätzen festgehalten.

Wie gefährlich ist Hunters International wenn man sie mit anderen Hackergruppen vergleicht?

Die Gruppierung gilt als hochgefährlich. Auffällig ist zum Beispiel, dass die Gruppierung jeweils grössere Datenmengen stehlen konnte. Wir reden hier teilweise von Terabytes. Dies ist nur mit einer sorgfältigen Planung und professionellen Umsetzung unentdeckt durchführbar.

Laut Medienberichten arbeitet Hunters International mit dem Ransomware-as-a-Service-Modell. Wie funktioniert das?

Hochgradig professionalisierte Entwickler von Ransomware stellen diese und die dazugehörige Infrastruktur ihren «Affiliates» zur Verfügung. Diese können dann ohne tiefschürfendes technisches Verständnis entsprechende Angriffe auf hohem Niveau durchführen und beteiligen so die Entwickler an ihrem Umsatz. Ein Geschäftsmodell, das in den letzten Jahren stark gewachsen ist.

Gibt es Daten dazu, wie viel Geld mit Ransomware verdient wird?

Es gibt Schätzungen, dass im Jahr 2024 ein globaler Umsatz mit Ransomware von rund 815 Millionen USD gegeben war. Solche Zahlen sind aber mit Vorsicht zu geniessen, da viele Zahlungen nie öffentlich werden und deshalb nicht in eine Statistik einfliessen können. Es zeichnet sich aber ein potentieller Rückgang ab: Unternehmen sind immer weniger gewillt zu zahlen – und gezielte Polizeiaktien helfen die Attraktivität dieses Geschäftsmodells zu reduzieren.

Gestohlen wurden offenbar Telefonnummern und Angaben, welche Position Mitarbeiter innerhalb der UBS haben und auf welche Etage sie arbeiten. Was können Hacker mit solchen Daten anfangen?

Solche Daten sind nützlich, um zielgerichtetes Social Engineering und personalisiertes Phishing umzusetzen. Das Ändern dieser Daten durch die Betroffenen ist nicht möglich oder nur eingeschränkt von Nutzen. Stattdessen sollten die Mitarbeiter konkret über den Zwischenfall und die möglichen Konsequenzen informiert werden. So kann man Awareness und mit ihr eine gewisse Robustheit gegen weiterführende Angriffe schaffen.

Links

• https://scip.ch/publikationen/flyer/scip_company-flyer_plusTeams_2024_v01-de.pdf
• https://vuldb.com/?actor.hunters_international
• https://www.nzz.ch/wirtschaft/hackergruppe-world-leaks-veroeffentlicht-daten-von-130-000-ubs-mitarbeitern-im-darknet-auch-bankchef-sergio-ermotti-ist-betroffen-ld.1889515
• https://www.scip.ch/?team.maru
• https://www.srf.ch/news/wirtschaft/cyberangriff-hacker-veroeffentlichen-daten-von-ubs-und-anderen-schweizer-firmen

Tags