Poziom usług dotyczących organizowania ataku DDoS na czarnym rynku nie różni się wiele od poziomu usług w przypadku legalnej działalności. Jedyna różnica polega na braku bezpośredniego kontaktu między dostawcą a klientem. “Dostawcy usług” oferują wygodną stronę, na której klienci, po zarejestrowaniu się, mogą wybrać rozwiązanie, które im odpowiada, dokonać płatności i otrzymać raport na temat przeprowadzonych ataków.
W niektórych przypadkach stosuje się nawet programy lojalnościowe dla klientów, przyznając im upominki lub punkty bonusowe za każdy wykupiony atak. Inny istotny czynnik wpływający na koszt to rodzaj ofiary. Ataki na strony rządowe i zasoby chronione przez wyspecjalizowane rozwiązania do zwalczania DDoS są znacznie droższe, ponieważ te pierwsze wiążą się z większym ryzykiem, a te drugie są trudniejsze do zaatakowania. Przykładowo na jednej stronie internetowej oferującej ataki DDoS jako usługę cena ataku na niechronioną stronę internetową waha się od 50 do 100 dolarów, podczas gdy atak na zabezpieczony zasób kosztuje 400 dolarów lub więcej.
To oznacza, że za atak DDoS można zapłacić od 5 dolarów, jeśli trwa 300 sekund, do 400 dolarów, jeśli dany serwis online ma być “bombardowany” przez 24 godziny. Średnia cena ataku kształtuje się w granicach 25 dolarów za godzinę. Eksperci z Kaspersky Lab obliczyli również, że atak z wykorzystaniem opartego na chmurze botnetu składającego się z 1000 komputerów kosztuje dostawców około 7 dolarów na godzinę. To oznacza, że cyberprzestępcy przeprowadzający ataki DDoS zarabiają około 18 dolarów na godzinę.
Istnieje jednak inny scenariusz, który może przynieść większe zyski cyberprzestępcom — zakłada on żądanie okupu przez atakujących od ofiary w zamian za zaniechanie ataku DDoS lub odwołanie trwającego ataku. Wysokość okupu może stanowić równowartość tysięcy dolarów w bitcoinach, co oznacza, że zysk z jednego ataku może przewyższyć 95%. W rzeczywistości osoby dopuszczające się szantażu nie muszą nawet posiadać odpowiednich zasobów do przeprowadzenia takiego ataku — niekiedy sama groźba wystarczy.
