We wtorek wieczorem z Internetu zniknęły wszystkie strony należące do RBN (m.in. serwisy hostujące najróżniejsze konie trojański i robaki) oraz oferowane przez nich usługi (m.in. botnety wysyłające spam). Rosjanom zdarzały się już co prawda wcześniej awarie, które miały podobne skutki - jednak tym razem eksperci są pewni, że serwisy zostały wyłączone świadomie. "To z pewnością nie jest efekt działania kogoś z zewnątrz - np. dostawcy usług internetowych lub firmy czy instytucji zwalczającej cyberprzestępców. Ludzie z RBN sami podjęli decyzję o wyłączeniu swoich zasobów" - mówi Paul Ferguson z firmy Trend Micro.

Zdaniem Fergusona, wydarzenie to może świadczyć o tym, że rosyjski gang chce się przegrupować - np. przenieść swoją działalność do innego kraju. Z całą pewnością jednak chwilowa niedostępność sieci RBN nie oznacza, że grupa ta zamierza zakończyć swoją przestępczą działalność. "Nie wiadomo dokładnie, co oni robią - pewne jest jednak, że nie zamierzają tak po prostu się wycofać z branży. Nie wierzę, że zrezygnują z ogromnych pieniędzy, które zarabiają. Takie myślenie byłoby naiwnością" - mówi Paul Ferguson.

Specjaliści sądzą, że RBN może właśnie zmieniać lokalizację swoich serwerów - po to, by utrudnić ich namierzanie i wyłączanie. Niewykluczone, że przestępcy chcą przenieść się np. do Turcji, na Tajwan lub do Chin - w krajach tych zaobserwowano w ostatnich godzinach aktywność grup przestępczych o cechach podobnych do RBN. Członkowie Spamhaus Project przypominają, że Rosjanie już wcześniej wykorzystywali m.in. chińskie adresy IP.

Grupa RBN jest jedną z najbardziej aktywnych w ostatnich miesiącach internetową formacją przestępczą. To ona jest odpowiedzialna za niedawne masowe wysyłanie plików PDF infekujących Windows złośliwym oprogramowaniem (poprzez lukę w produktach firmy Adobe) oraz za włamanie na stronę Bank of India (w wyniku tego włamania serwis bankowy przez kilka dni rozsyłał wirusy).