Mitte Januar hatte die Aus­gleichs­kasse des Verbandes der Schweizer Maschinen-, Elektro- und Metall­industrie (Swissmem) einen Cyberangriff selbst öffentlich gemacht. Dieser habe Anfang Jahr stattgefunden, seit dem 9. Januar laufe der Betrieb auf einer voll­ständig neu auf­ge­setzten Plattform wieder. Der Aus­gleichs­kasse sind rund 1300 Firmen angeschlossen. In der Kasse sind 150'000 Aktive sowie 50'000 AHV- und IV-Rentnerinnen und -Rentner erfasst.

Die Ausgleichskasse gab auch bekannt, dass rund 10% ihrer Daten gestohlen wurden. Sie erstattete Strafanzeige und zog den Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb), das Bundesamt für Sozial­ver­si­che­rungen (BSV) und das Bundesamt für Cybersicherheit (Bacs) hinzu.

Jetzt scheint klar, wer hinter dem Angriff steckt. Im Darkweb hat sich die Ransomware-Bande Hunters International dazu bekannt. Die Cyber­kriminellen behaupten, ein 456 Gigabyte grosses Datenpaket erbeutet zu haben und drohen mit dessen Veröffentlichung. Darin könnten sich auch sensible Personendaten befinden, wie erste Screenshots zeigen.

Hunters International behauptet auch, dass Verhandlungen über die Wiederherstellung der Daten stattgefunden hätten. "Nach einem Monat der Verhandlungen antwortete Swissmem nicht mehr, ohne Grund. Wir werten dies als eine Absage an die Beilegung des Geschäfts", so die Cyberkriminellen auf ihrer Seite im Darkweb.

Die Ausgleichskasse erklärt dazu auf Anfrage von inside-it.ch: "Im Zusammenhang mit den Ermittlungen und in enger Absprache mit der Kantonspolizei hat eine Kontaktaufnahme mit der Täterschaft stattgefunden. Auf deren Forderungen wurde nicht eingegangen."

Weitere Auskünfte zu den Ermittlungen und der Täterschaft könne man nach Rücksprache mit der Polizei nicht erteilen. "Analysen des externen Spezialisten-Teams, soweit sie überhaupt möglich waren, ergaben, dass es sich bei einem Grossteil der betroffenen Daten nicht um besonders schützenswerte Daten handelt. Da in solchen Fällen keine vollständige Transparenz bezüglich des Inhaltes der abgeflossenen Daten besteht, ist eine abschliessende Beurteilung bezüglich Sensitivität der Daten aber nicht möglich", führt die Kassen-Medienstelle aus.

"Entsprechend der Empfehlung der Polizei und des Edöb ist der grösste Schutz der Betroffenen damit sichergestellt, wenn sowohl unsererseits als auch medial über die von der Täterschaft bereits vorgenommene und weiter beabsichtigte Vorgehensweise nicht weiter informiert oder publiziert wird", betont die Ausgleichskasse. Bereits zuvor hatte sie darüber informiert, dass die der Ausgleichskasse angeschlossenen Firmen und ihre Mitarbeitenden sowie die Pensionierten mit einem Schreiben über den Vorfall unterrichtet wurden. Zusätzlich wurde eine Hotline eingerichtet, die Betroffenen zur Verfügung steht.

Die Bande Hunters International tauchte erstmals im Oktober 2023 auf und arbeitet mit dem Ransomware-as-a-Service-Modell. Erste Analysen von Security-Experten zeigten, dass ihre Ransomware zahlreiche Überschneidungen mit dem Code der Gruppe Hive aufwies. Diese war Anfang 2023 nach einem Schlag durch internationale Justizbehörden aufgelöst worden.

Hunters International behauptete jedoch im Darkweb, man sei "unabhängig", habe den Code von Hive gekauft und dann verbessert. So ist ihre Ransomware in der Programmiersprache Rust geschrieben, im Gegensatz zu den früheren Hive-Varianten mit Code in C und Golang.

Laut einem Report der Security-Firma Forescout vom Januar 2025 hat die Bande weltweit bisher über 200 Unternehmen und Organisationen erfolgreich attackiert. Es handle sich um einen "sehr aktiven und lukrativen Ransomware-Dienst". Weitere technische Details zum Vorgehen der Cyberkriminellen lassen sich im Forescout-Report nachlesen.