Схему вымогательства разъяснил блог RBNExploit, который анонимно ведет один исследователь (а возможно, несколько).
"Бизнес-модель RBN чрезвычайно проста и эффективна, - говорится в сообщении, опубликованном в блоге. - Аффилированные с RBN организации просматривают различные форумы и другие места для тематических обсуждений в поисках владельцев Web-ресурсов, использующих или обсуждающих услуги по защите в Сети, например, сервисы по предотвращению DDoS-атак. Затем они проводят атаку на выбранный сайт, а вслед за этим владельцу ресурса поступает предложение третьей стороны подписаться на их услуги по предотвращению DDoS-атак.
Цена подобной "защиты" - 2 тыс. долл. в месяц.
Такие DDoS-атаки, как и практически все подобные массовые атаки, проводятся с помощью ботнетов - "армий" заранее взломанных компьютеров, которым можно сегодня отдать приказ бомбить сайт запросами, а завтра - рассылать огромные количества спама. Многие исследователи, например, связывают деятельность RBN с ботнетом Storm - группировкой компьютеров, зараженных одноименной троянской программой. Некоторые специалисты по информационной безопасности прямо обвиняют RBN в прошлогодней серии DDoS-атак на сайты правительства Эстонии.
Авторы RBNExploit отмечают, что среди доменов, перешедших в последнее время на хостинговые сервисы RBN, имеются порнографические сайты, сайты по продаже лекарственных средств и сайты, которые авторы называют термином HYIP - High Yield Investment Programs ("высокоприбыльные программы инвестиций"). Последний термин давно стал синонимом инвестиционного мошенничества, часто в традиционной форме "финансовой пирамиды".
"Успех RBN связан с тем, что большинство владельцев таких сайтов не хотят жаловаться публично", - отмечают авторы блога.
Авторы дают ссылку на форум по HYIP, где несколько раз поднимались темы вымогательств, проводимых с помощью DDoS-атак.
"Заплатили очень быстро. Очень хорошая прибыль от DDoS-атаки", - с энтузиазмом написал один из участников форума в начале декабря 2007 года.
"Отлично сработала поддержка во время DDoS! - пишет другой. - Очень рад быстрому платежу! Спасибо!"
Авторы блога выяснили, что сервисы по защите от DDoS-атак используют тот же IP-адрес, на который ранее указывалось как на "новый основной сервер" сети RBN в Санкт-Петербурге. Кроме того, они перечислили несколько доменов, недавно переместившихся на серверы RBN, предоставляющих защищенный от атак хостинг. Среди них HYIP-сайт Golden Pig и несколько сайтов, продающих лекарственные средства. В числе последних - thecanadianmeds.com и officialmedicines.com. Оба сайта сейчас размещены на серверах в Турции, как говорится в блоге. Ранее они были внесены в черный список SpamHaus.org, хорошо известной организации по борьбе со спамом.
Телефонные номера, указанные в записях о регистрации доменов для этих сайтов, были либо неполны и, следовательно, не работали, либо по ним отвечал факс.