Zuletzt am 21. April wurde das Geschäftskundenportal von DHL anscheinend mit einer DDoS-Attacke angegriffen, viele DHL-Kunden in einschlägigen Foren meldeten Störungen und Totalausfälle. Am Abend des 21. Aprils wurde ebenfalls Attacken auf myhermes.de, das Kundenportal des Versanddienstleisters Hermes durchgeführt. Die Seite war nur für kurze Zeit nicht erreichbar, dem Hoster Syseleven gelang aber anscheinend eine Abwehr der DDoS-Attacke. Auch der Marktplatz Ebay soll laut Händlerstimmen aus einschlägigen Foren beeinträchtigt gewesen sein. Die Versandseiten waren gemäß einer Ebay-Meldung gestört.

Die Gruppe, die sich selbst Xmr-Squad nennt, ist mit hoher Wahrscheinlichkeit der Urheber der Angriffe. Die Gruppe nutzt laut der Bekennerschreiben, die beim Marktplatzexperten und Blogger Mark Steier eingegangen sind, ein Botnetz. Ob die Gruppe das Botnetz selbst unter Kontrolle hat oder einen DDoS-as-a-Service-Anbieter nutzt, ist nicht bekannt.

Vorliegende Informationen zu den DDoS-Attacken sowie die vorherige, zeitlich passenden Ankündigungen der Gruppe, deuten darauf hin, dass die Attacken auch tatsächlich von den mutmaßlichen Tätern veranlasst wurden. Die Ausfälle sind darüberhinaus beispielsweise im Störungsportal allestörungen.de verzeichnet.

Steier, der in Telefonaten mit mutmaßlichen Mitgliedern der Gruppe Kontakt hatte, spricht von einem russischen Akzent, aber fehlerfreiem Deutsch. Einer unverifizierten Quelle Steiers zufolge, soll es sich bei den mutmaßlichen Tätern um drei Jugendliche im Alter von 15-17 Jahren handeln.

Die Gruppe behauptet DHL eine Forderung in Höhe von 250 Euro für eine Prüfung der DDoS-Protection gestellt zu haben, belegt durch einen Screenshot einer E-Mail. Die Forderung sei nicht bezahlt worden. Eine Anfrage von Samstag an DHL mit Bitte um Stellungnahme wurde bislang nicht beantwortet.

Zu den Motiven der Täter sind keine Hintergründe bekannt. Laut Steier, sagte einer der mutmaßlichen Täter, dass die Jugendlichen ihre Bekanntheit steigern wollen.

Der Sicherheits-Provider Link11 warnt in seinem Online-Sicherheitscenter bereits vor der Hackergruppe und hat ein Täterprofil veröffentlicht. Dass für die kurzen Demo-Attacken der Erpressergruppe nur einen Betrag von 250 Euro fordert, stufen die Sicherheitsexperten als auffällig ein. Üblich wären bei solchen Erpressern Beträge zwischen einem und fünf Bitcoin – also umgerechnet rund 1000 bis über 5000 Euro.

Link11 empfiehlt Betroffenen ihren Hosting-Anbieter zu informieren und eine Anzeige bei den Strafverfolgungsbehörden zu stellen. Weiter verweist das Unternehmen auf die Allianz für Cybersicherheit, die eine Übersicht über die Meldestellen der einzelnen Bundesländer bietet.