Борьба с киберпреступностью | F6

⚡️ F6 зафиксировала новые вредоносные рассылки кибергруппы CapFIX. Кампания нацелена на ритейлеров, коллекторские агентства, микрофинансовые учреждения, страховые компании. 11 ноября система F6 MXDR заблокировала вредоносную рассылку с использованием спуфинга почты российского туристического агентства. Аналитики Центра кибербезопасности и Threat Intelligence F6 обнаружили, что письма распространяли бэкдор Capdoor.

CapDoor — бэкдор, обнаруженный в 2025 году в ходе исследования атаки с использованием вредоносной капчи (ClickFix).

Как происходила атака? ▪️ Злоумышленники направляли письма под видом рекомендаций якобы от ФСБ по поведению при минной угрозе, а также требований предоставить отчетность по противодействию информационным атакам. ▪️ Внешний вид вложения побуждал жертву скачать по ссылке программный комплекс «КриптоПро» для корректного отображения. ▪️ Ссылка вела на домен, при переходе на устройство жертвы загружался защищенный паролем архив с именем «Пакет установки КриптоПРО.rar». Анализ одного из вредоносных вложений на Malware Detonation Platform F6 ▪️ Финальная нагрузка представляет собой модифицированную версию бэкдора Capdoor для x64 архитектуры. ‼️ 12 и 13 ноября злоумышленники провели повторную рассылку — система F6 MXDR заблокировала еще несколько писем, направленных в рамках этой же кампании в адрес сетевого ритейлера и финорганизаций. Техники злоумышленников из CapFIX и индикаторы компрометации — в нашей статье на Habr.

«Добрый вечер, я диспетчер». Рассказываем о новом мошенническом сценарии с проверкой отопления. ▪️ Специалисты F6 выяснили, что злоумышленники под видом диспетчеров сообщают о проверке отопительной системы. Они пишут в мессенджер: «В связи с началом отопительного сезона наш мастер будет полностью проверять отопительную систему. Когда удобно будет встретить мастера?». ‼️ Особенность сценария — отказ преступников от просьбы назвать код из СМС. Код — маркер мошеннической атаки, который останавливает уже многих пользователей, поэтому теперь мошенники используют ссылки на фейковые сайты. На любые уточняющие вопросы неизвестный направляет ссылку с сообщением: «Здесь вся информация по проверке, включая адрес. Проверьте и пришлите мне скриншот для отчетности». ▪️ Далее — запугивают жертву взломом личного кабинета госсервиса и уголовной ответственностью, например: «Вы перешли по мошеннической ссылке и из-за этого обязуетесь выплачивать кредит за переводы на Украину», «Ваша машина будет изъята. Квартира под арестом. Возможности распоряжаться имуществом уже не будет». ▪️ В финале атаки требуют перевести деньги на якобы «безопасный счет» или передать курьеру. ‼️ Известные F6 кейсы этой атаки произошли в ноябре, уже после начала отопительного сезона. Все детали о новом сценарии читайте в релизе.

📢 Отсутствие подозрительных событий в логах — не всегда признак безопасности. Почему злоумышленники остаются незамеченными и где их искать — отвечаем на бесплатном вебинаре. «Где прячется злоумышленник? Ответ SOC MDR» Когда? 27 ноября в 11:00 Какие темы затронем: 💚 Почему проактивный поиск угроз — основа безопасности, а не дополнительная опция? 💚 Как технологии обнаруживают атакующих на начальной стадии атаки? 💚 Реальные инциденты: от первых признаков до полного расследования. 💚 Как восстановить полную картину атаки и устранить угрозу? ➡️ Регистрируйтесь, чтобы участвовать в вебинаре или получить запись

🔥 Через неделю встречаемся на SOC Forum 🔥 Превращаем сухие слайды из презентаций в действия. Эксперты кибербез-компаний, регуляторы, техгиганты — все соберутся на одной площадке, чтобы говорить о реальных атаках и эффективной защите от них. Команда F6 будет ждать вас на стенде и в зоне докладов. Вот о чем расскажут наши эксперты. 📍 20 ноября, 16:00. Зал 4. Спикер: Роман Черенков, технический руководитель SOC Доклад: «META Stealer, Sticky Werewolf и слепые зоны SOC: почему мониторинга внутренней сети уже недостаточно» 📍 20 ноября, 15:30. Зал 3. Спикер: Владислав Азерский, замруководителя Лаборатории цифровой криминалистики и исследования вредоносного кода Доклад: «После Red Team можно не бояться атак… Не бояться атак, да?» 🟣 Также директор по маркетингу F6 Анастасия Меркулова примет участие в дискуссии «Почему маркетинг кибермошенников круче маркетинга многих ИБ-компаний». 🎥 Смотрите видео, чтобы узнать подробности выступлений лично от наших спикеров. 📍 Стенд F6 располагается на территории SOC Forum — П4+. Мы подготовили кое-что интересное, но об этом позже 😎 Увидимся на SOC Forum!

ASM против VM: кто выиграет гонку за безопасность? Мы сравнили Attack Surface Management и Vulnerability Management: обе системы работают на защиту бизнеса, но решают разные задачи. 〰️ VM ищет и устраняет уязвимости внутри инфраструктуры. Сканеры проверяют известные серверы, базы, приложения, формируют отчеты и передают их администраторам. Этот подход эффективен, но ограничен списком активов, занесенных в инвентарь. 〰️ ASM показывает внешний контур глазами злоумышленника. Система выявляет домены, поддомены, облачные сервисы, цифровые следы подрядчиков, оценивает риски и фиксирует изменения в реальном времени. ASM находит то, о чем внутри компании могут не знать. Пока VM проверяет внутренние системы, ASM видит всё, что доступно из интернета. В связке эти технологии создают целостное управление рисками: внешнее наблюдение показывает экспозицию, внутренний анализ проверяет глубину. В статье объясняем, почему анализ поверхности атак становится базой цифровой устойчивости бизнеса и как ASM помогает опередить атаки.

Откладывал обучение с января? 👀 Последний шанс успеть прокачаться в этом году — объявляем набор на декабрьские курсы. В мире кибербеза нет пауз и «давайте уже после праздников». Атаки становятся сложнее, а расследования требуют всё большей точности. Поэтому откладываем поедание мандаринов и осваиваем навыки анализа и выявления киберугроз. 1️⃣ Аналитик SOC Когда? 9–11 декабря 2025. Кто? Алексей Федосеев и Владислава Смирнова, старшие аналитики Центра кибербезопасности F6. Чему научитесь: эффективно мониторить события ИБ, выявлять угрозы и отличать реальные инциденты от ложных сработок. Освоите методы криминалистики ОС и сетей, разработку правил детектирования (Suricata, SIGMA) и threat-hunting с помощью XDR. 2️⃣ Компьютерная криминалистика и реагирование на инциденты в ОС Windows Когда? 15–19 декабря 2025. Кто? Михаил Николаев, старший тренер по кибербезопасности F6, и Игорь Лешков, тренер по кибербезопасности F6. Чему научитесь: изучите методы сбора и анализа криминалистических данных, создание копий накопителей и восстановление картины атак, самостоятельно поработаете с образом жесткого диска и дампом памяти: анализ артефактов, восстановление хода инцидента, сопоставление с MITRE ATT&CK. 🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте edu@f6.ru. Делитесь информацией о курсах с теми, кому они актуальны ❤️

Идеальное место для встречи с мошенником. Объясняем новую схему с арендой недвижимости.   Сценарий атаки завязан на фейковом сервисе онлайн-бронирования домов для отдыха Point House и ориентирован на жителей Москвы и Подмосковья. ▪️ Действия скамеров частично повторяют схему FakeDate. Они знакомятся с мужчинами под видом привлекательных девушек, а установив доверительные отношения, предлагают встретиться — снять «уютный домик для отдыха в приватной атмосфере». ‼️ Сайт фейкового сервиса point-house[.]homes копирует фото и названия объектов реального гостевого дома в Подмосковье. ▪️ «Девушка» направляет жертве ссылку и «промокод» на скидку (ID, который позволяет организаторам узнать, кто из скамеров привел пользователя). Жертвами скам-группы с начала сентября стали 300 пользователей из России, которые перевели мошенникам 2,3+ млн руб. ➡️ Детали схемы описали в релизе.

❗️ В России появится консорциум компаний, которые будут обмениваться информацией о новых мошеннических схемах в сфере информационной безопасности для предотвращения фишинга и кибератак. Консорциум, который получил название Центр аналитики социальной инженерии и ИИ в кибермошенничестве, будет создан на базе «Кибердома». В него войдут: ▪️ F6; ▪️ RUTUBE; ▪️ «Билайн»; ▪️ «Логика молока» (бывшая Danone в России); ▪️ Т-банк; ▪️ Infosecurity (ГК Softline); ▪️ Центр правовой помощи гражданам в цифровой среде. В I квартале 2026 года Центр аналитики запустит платформу, где будут публиковаться детальные отчеты для бизнес-сообщества.

Дмитрий Ермаков, руководитель департамента Fraud Protection F6: Какой бы крупной компания ни была, в одиночку эффективно противодействовать скаму уже невозможно. Необходимо объединять экспертизу, данные и тактики противодействия в едином контуре.

Технологической основой пилотного отчета стала разработанная компанией F6 «Матрица фрода» (Fraud Matrix) — база знаний, в которой разобраны все актуальные схемы финансового мошенничества и более сотни техник, которые используют злоумышленники. 😉 Борьба с киберпреступностью

Пираты по соседству: F6 сравнила рынок нелегального контента в России и Беларуси. Аналитики Digital Risk Protection F6 выяснили, что отличий между сегментами онлайн-пиратства в соседних странах больше, чем сходств. ▪️ Даже в самый неблагоприятный для пиратов 2024-й год объемы рынка в России составили $36 млн — в 24 раза больше, чем у ресурсов, нацеленных на белорусскую аудиторию.   ▪️ Организаторы пиратских ресурсов для россиян за два года потеряли 20% доходов, а в белорусском сегменте доходы увеличились на 12%. ▪️ В белорусских пиратских плеерах преимущественно не встроена реклама, а в русскоязычных пиратских CDN реклама в плеере — один из основных источников дохода. Еще одно отличие — заработок «белорусских» пиратов на донатах. ▪️ В России популярность легальных стримингов сокращает трафик поисковых запросов на пиратские порталы: за 2024 год падение на 4%. В Беларуси поисковые запросы на пиратские ресурсы увеличились на 7%, хотя стриминги там тоже развиваются. Больше цифр, тенденций и сравнительной аналитики — в новом блоге F6.

Как обманывают детей в онлайн-играх? Вместе с RuStore собрали топ популярных схем. Дети знакомятся с онлайн-играми в возрасте от 2 до 6 лет. Уже с этого момента их начинают подстерегать реальные киберугрозы. Большинство из них завязаны на обмане при получении игровой валюты — и вот несколько таких ловушек. 1️⃣ Геймеры-«помощники» Дети часто хотят получить бусты для персонажа с помощью игровой валюты, которую можно купить за деньги. Получая отказ от родителей, они обращаются во внутриигровых чатах к другим геймерам, которые могут оказаться мошенниками. 2️⃣ Сомнительные платформы Из интернета или от другого игрока ребенок может узнать о сайтах, где якобы по выгодному курсу можно купить игровую валюту. Сумма обычно невысокая, чтобы ребенок мог накопить ее или попросить у родителей, не вызывая подозрений. 3️⃣ Обмен вещами (трейд) Ребенку дарят недорогой айтем, а потом просят его обменять на более дорогой комплект. Ребенок открывает трейд, и когда он заполняется вещами, мошенник быстро, пока ребенок не закрыл окно, проводит трейд, забирая всё себе. 4️⃣ Перевод в другой сервис Часто детям указывают на «золотую жилу» с условными робуксами и переводят по сторонним ссылкам. Цель — данные учеток в соцсетях, банковских приложениях, на «Госуслугах». Подробнее о схемах обмана детей — рассказали в статье.

Один неверный клик сотрудника — и миллионы рублей уходят злоумышленникам. Это не сценарий фильма, а ежедневная реальность бизнеса. По данным исследований, человеческий фактор — основная причина утечек. Именно ваши коллеги, сами того не желая, становятся «слабым звеном», открывая фишинговые письма и переходя по опасным ссылкам. ▪️ Готова ли ваша команда к атаке? ▪️ Отличит ли финансист поддельное письмо со срочным поручением директора от настоящего? ▪️ Не подключится ли продажник к открытому Wi-Fi во время работы с клиентской базой? ▪️ Не перешлет ли HR резюме кандидатов на личную почту «для удобства»? Такие мелочи ведут к многомиллионным убыткам, ударам по репутации и проверкам регуляторов. Хорошая новость: сотрудников можно превратить из главной угрозы в первый рубеж обороны. Как это сделать? Подробно разобрали в нашей статье.

Как вычислить уязвимости бизнеса до того, как их обнаружат злоумышленники? Любая компания оставляет цифровой след. Поддомены, тестовые среды, открытые интерфейсы, устаревшие библиотеки, корпоративные адреса в утечках — всё это становится ориентиром для атакующих. ‼️ Стандартные проверки не показывают, как организация выглядит извне, а именно так на нее смотрят злоумышленники, выбирая цель. Индекс кибербезопасности F6 позволяет увидеть цифровой контур глазами атакующего. Он анализирует инфраструктуру, почтовые сервисы, DNS, SSL, публичные IP и внешние упоминания, после чего формирует отчет с конкретными зонами риска. Это инструмент, с которым можно управлять безопасностью как бизнес-процессом, а не реагировать на последствия. 📍 13 ноября в 11:00 эксперты F6 проведут вебинар «Индекс кибербезопасности F6: диагностика вашего сайта перед угрозами». Расскажут, как интерпретировать результаты Индекса, расставлять приоритеты и использовать данные диагностики для укрепления защиты. ➡️ Регистрация на вебинар

Нужна квартира и ваш аккаунт. F6 зафиксировала новую схему мошенничества в сфере недвижимости. В отличие от известных сценариев, связанных с продажей и арендой домов и квартир, цель злоумышленников — получить доступ к личному кабинету пользователей.

Александр Сапов, старший аналитик Digital Risk Protection F6: После введения законодательных ограничений на регистрацию сим-карт мошенникам стало труднее получить новые номера, с помощью которых они могли бы регистрировать фейковые аккаунты и размещать объявления-приманки. Вероятно, именно этим вызван интерес киберпреступников к угону учетных записей в сервисах поиска недвижимости.

Как работает схема? ▪️ Мошенники создают фейковые домены, маскирующиеся под известные сервисы поиска недвижимости. В адресах фишинговых страниц фигурируют название бренда и слова rent и flat. ▪️ Они размещают объявления-приманки о сдаче квартир в городских Telegram-каналах или, наоборот, пишут напрямую собственникам что-то вроде: «Мне попалась квартира по другому адресу, информация другая, но фотографии ваши». ▪️ В обоих случах злоумышленники присылают фишинговые ссылки. Если пользователь укажет запрашиваемые данные и введет код подтверждения доступа, доступ к аккаунту перехватят. С 10 сентября 2025 года аналитики F6 обнаружили и заблокировали 8 доменов, используемых для фишинговых атак. 😉 Борьба с киберпреступностью

«Олдскульная» математичка в исполнении Ароновой и очередные криминальные интриги. Публикуем рейтинг фильмов и сериалов, которые пираты чаще всего копировали в октябре. По итогам прошедшего месяца место в топе нашлось боевикам, комедиям, фантастике и хитам российских стриминговых платформ. Топ-5 копируемых фильмов ⬇️ 1️⃣ «Пойман с поличным» 2️⃣ «Код 3» 3️⃣ «Долгая прогулка» 4️⃣ «Девушка из каюты №10» 5️⃣ «Проклятие пустоши» Топ-5 копируемых сериалов ⬇️ 1️⃣ «ПИН-код» 2️⃣ «Олдскул» 3️⃣ «Чужой: Земля» 4️⃣ «Лихие» 5️⃣ «Чёрный кролик» Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов и сериалов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце. 😉 Борьба с киберпреступностью

«Праздничные дивиденды»: F6 обнаружила мошенническую атаку, приуроченную ко Дню народного единства. Традиционно — когда россияне готовятся отдыхать, мошенники трудятся. В преддверии государственного праздника они запустили фейковую новость о выплатах дивидендов от продажи нефти и газа.   Аналитики Digital Risk Protection F6 зафиксировали более 300 сайтов-приманок, сообщающих, что гражданам РФ якобы полагается от 75 тыс. руб. в честь Дня народного единства. ⚙️ Всё происходит по стандартной схеме инвестскама: под предлогом расчета точной суммы дивидендов пользователям предлагают указать возраст, ФИО и телефон, затем жертве звонит «персональный менеджер» и уговаривает внести деньги для быстрого увеличения капитала. 😉 Борьба с киберпреступностью

Более 3️⃣0️⃣0️⃣ млн заработали мошенники на FakeDate в 2025 году.   Схема постоянно обновляется, и вот ее новый твист: теперь злоумышленники предлагают сходить на свидание не только в кино, театр или на стендап, но также в музей, планетарий или на конную прогулку. Под бренды известных билетных сервисов маскируются как минимум семь скам-групп, работающих по схеме FakeDate. Три из них с начала года похитили у россиян 330+ млн рублей. Особенности новой схемы: ▪️ Ранее мошенники создавали страницы несуществующих театров, кинозалов и антикафе. Теперь же они используют сайты-двойники популярных сервисов. ▪️ Выбор активностей для свидания теперь шире. Сейчас мошенники готовы «продать» билеты на выставку, квест, в музей, оперу и филармонию, в планетарий и на пейнтбол, даже заказать романтическую прогулку на лошадях. Раньше выбор места встречи, который предлагали злоумышленники, был ограничен театром, кино, кальянной, антикафе и стендап-шоу. Развязка схемы всё та же. После оплаты билетов «девушка» или перестанет выходить на связь, или сообщит, что вынуждена отменить встречу. При попытке возврата средств со счета снова спишут сумму билетов.

Вячеслав Судаков, аналитик Digital Risk Protection F6: При любом раскладе в распоряжении скамеров остаются данные банковской карты пользователя, а также сведения о его имени и фамилии, номер телефона и адрес электронной почты. Эту информацию мошенники могут в дальнейшем использовать для новых атак на пользователя или его близких.

➡️ Детали нового сценария схемы FakeDate смотрите на сайте.

❗️ Компании проходят стресс-тест на зрелость. Публикуем результаты осеннего отраслевого Индекс кибербезопасности. За полгода корпоративная кибербезопасность в России изменилась. В новой волне исследования F6 видно, кто усилил цифровой контур, а кто по-прежнему работает без должного контроля над периметром. Главные выводы: ▪️ Транспорт и энергетика выросли на 1,5 балла (теперь — 6,3). После серии киберинцидентов компании усилили контроль подрядчиков и внедрили сценарии восстановления. Теперь эти отрасли опережают финсектор по уровню защищенности. ▪️ Финансы и промышленность стабильны (5,8), но динамика замедлилась. ▪️ Ритейл и строительство остаются в зоне риска из-за слабого контроля за активами, устаревших конфигураций и версий ПО. Средняя оценка защищенности компаний России и СНГ — 5,7 из 10 (в мае — 5,2).

Евгений Чунихин, бизнес-руководитель Threat Intelligence и Attack Surface Management F6: Для одних отраслей кризис стал стимулом для зрелости, для других — испытанием на устойчивость. Всё больше компаний переходят от реакции на инциденты к системному управлению рисками. Возрос интерес к постоянному мониторингу, ревизии цифровых активов и аудиту поставщиков.

➡️ Подробнее об отраслевой динамике и зрелости кибербезопасности — в полном отчете 💚 Рассчитать индивидуальный индекс компании

Разбираем новую версию ВПО DeliveryRAT. Исследование F6 Threat Intelligence. ▪️ Обновление ВПО появилось в апреле 2025 года. Помимо базовых функций — кража содержания SMS и уведомлений — троян теперь может отображать заранее подготовленные варианты диалоговых окон с возможностью похищения фотографий, загружаемых пользователем, ввода данных банковской карты и т.д. ▪️ Также DeliveryRAT получил отличающиеся от стилера возможности для выполнения DDoS-атак, что позволяет использовать этот троян для массовых атак на инфраструктуру организаций. Троян DeliveryRAT маскируется под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Способы распространения ВПО мы детально описывали здесь. Подробный разбор ВПО DeliveryRAT читайте в новом блоге F6.

⚡️ 7000 партнеров OCS в России получат доступ к флагманским решениям F6. F6 заключила соглашение с OCS — одним из крупнейших ИТ-дистрибьюторов в России. ⚙️ Партнерская сеть OCS будет применять решения F6, ориентированные на проактивную защиту цифровых активов и интеллектуальной собственности от атак программ-шифровальщиков и банковских троянов, кибердиверсий и шпионажа, а также финансового мошенничества, фишинга и скама.  

Ольга Скулова, директор департамента информационной безопасности и ПО OCS: Мы видим, что F6 активно развивает собственную экосистему продуктов в области кибербезопасности и делает это с учетом современных требований. Для нас это сотрудничество — способ расширить выбор для партнеров и дать им доступ к решениям, которые востребованы в текущих реалиях.

Компании также намерены проводить технические консультации, демонстрации, пилотные внедрения и совместные маркетинговые активности.  

Денис Мерцалов, директор по работе с партнерами F6: Подписанное партнерство имеет огромный потенциал и направлено на расширение портфеля в сегменте ИБ одного из крупнейших в России ИТ-дистрибьюторов, а также увеличение доступности наших продуктов и сервисов для региональных партнеров и заказчиков.

😉 Борьба с киберпреступностью

👀 Представьте: вы работаете в агропроме, впереди — крупный отраслевой форум, и вам на почту приходит его программа. Всё выглядит совсем не подозрительно, но — это снова уловка злоумышленников.   Специалисты F6 зафиксировали новую активность группировки Cloud Atlas.

Cloud Atlas — прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальных данных, активная с 2014 года. Использует сложные многоэтапные атаки с применением собственных загрузчиков и шифрованных каналов связи для скрытного сбора данных.

Что произошло? В преддверии форума «Зерно и масличные 2025», который состоится 30 октября в Москве, злоумышленники направили в адрес агропромышленного предприятия вредоносное письмо, замаскированное под программу мероприятия. Атаку перехватила система защиты от сложных и неизвестных киберугроз F6 Managed XDR. Немного деталей ⬇️ 〰️ Вредоносное вложение было в формате .doc, его отправили с адреса публичного российского почтового сервиса. 〰️ Это не первая атака группы на агропром этой осенью: в сентябре была зафиксирована рассылка с вредоносным «коммерческим предложением». 〰️ Также в октябре атаки группы были направлены на предприятия ОПК, в том числе под видом запроса демографических данных. Эти и другие атаки Cloud Atlas проанализировали  в новом блоге.