Борьба с киберпреступностью | F6

❗️ На один крупный бренд ежедневно создается до 20 атакующих ресурсов. Как бизнесу защитить себя — объясняем. Скам стал системной угрозой для брендов. Каждый день появляются поддельные сайты, аккаунты и приложения, которые используют названия компаний, чтобы обмануть клиентов. Число новых скам-доменов только за полгода превысило 3 500. Для бизнеса это не только финансовые потери, но и снижение доверия, репутационные риски. В свежей статье эксперты 🙃объяснили: ▪️ чем скам отличается от фишинга и почему он опаснее для бизнеса; ▪️ какие отрасли чаще всего под ударом; ▪️ какие ошибки совершают компании при противодействии; ▪️ как F6 Digital Risk Protection помогает блокировать до 90% мошеннических ресурсов еще до того, как пострадают клиенты. ➡️ ЧИТАТЬ

⭐️ Последнее время участились случаи угона аккаунтов знаменитостей — с их страниц мошенники уводят пользователей на фишинговые ресурсы. F6 исследовала эти схемы, подробный отчет — в блоге. Основной сценарий — «беспроигрышные» фейковые лотереи и розыгрыши. Продвижение фишинговых и скам-ресурсов мошенники реализуют с использованием образов известных брендов, медийных персон или напрямую с их официальных (взломанных) аккаунтов в соцсетях. Также ссылки на мошеннические ресурсы продвигают через Telegram-чаты, email-рассылки и соцсети.

Элина Ганиева, ведущий аналитик Digital Risk Protection F6: Использование на ресурсах изображений известных брендов и публичных личностей повышает кредит доверия со стороны потенциальных жертв и, тем самым, увеличивает прибыль тех, кто зарабатывает на обмане.

⚙️ Схема работает так: жертва переходит по ссылке на страницу с фиктивным розыгрышем, а потом либо сама переводит деньги по реквизитам (например, под предлогом оплаты комиссии), либо вводит данные карты для получения приза — а злоумышленники получают к ней доступ. Главные цифры ⬇️   〰️Аналитики Digital Risk Protection F6 заметили 10 активных мошеннических партнерских программ, нацеленных на россиян. 〰️За последний год доход мошенников в двух таких программах мог превысить 300 млн руб.  〰️Аналитики обнаружили 100+ шаблонов-офферов, в 45% из них используются лица знаменитостей, в 60% — изображения известных брендов (часть сайтов используют образы селебрити и брендов одновременно). Детали исследования — в новом блоге.

🎥 Как не попасться на крючок мошенников и куда обращаться, если это вдруг произошло? Подробно объясняем в видео! Многие пользователи до сих пор не понимают, как защитить данные в эпоху масштабных кибератак. Но теперь у них есть надежный помощник — наш видеокурс и платформа «Антифишинг». В первом выпуске Эвелина Переходюк, эксперт F6 и старший аналитик первой линии CERT, рассказывает: 💚 как злоумышленники маскируются под легальные сервисы и какие уловки используют; 💚 как выглядит классическая схема фишинга; 💚 как вовремя распознать обман; 💚 куда обращаться, если стали жертвой мошенников. Платформа «Антифишинг» от F6 позволяет каждому пользователю внести свой вклад в борьбу с киберпреступностью ⬇️ ❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу. Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки. Будьте начеку, смотрите видео на любой удобной платформе и делитесь им с каждым ⬇️ 📺 VK Видео 📺 YouTube 📺 RuTube

Станьте кибердетективом 😎 F6 открыла запись на октябрьские курсы. 1️⃣ Реагирование на инциденты ИБ Когда? 14–16 октября 2025. Кто? Михаил Николаев, старший тренер Центра обучения F6. Чему научитесь: анализировать атаки по фреймворкам Cyber-Kill Chain и MITRE ATT&CK, собирать криминалистические данные и анализировать артефакты Windows, создавать и отрабатывать план реагирования на реальных кейсах. 2️⃣ Исследование киберпреступлений Когда? 22–23 октября 2025. Кто? Специалисты департамента расследования высокотехнологичных преступлений F6. Чему научитесь: исследовать атаки с использованием Dark Web и открытых данных, а также выявлять и анализировать цифровые следы атакующих. Оба курса подходят для сотрудников SOC, CERT и других ИБ-специалистов, которые хотят повысить квалификацию. 🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте edu@f6.ru. Делитесь информацией о курсах с теми, кому они актуальны ❤️

⚡️ Аналитики Центра кибербезопасности F6 обнаружили новую волну вредоносных рассылок от группы Hive0117.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.

24 сентября ЦК F6 зафиксировал после нескольких месяцев затишья новую активность трояна DarkWatchman RAT. Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz. Аналогичная рассылка была также обнаружена в июне и июле. 🔍 В ходе анализа индикаторов было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz. Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане. В списке — 51 адресат (банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT). ‼️DarkWatchman RAT также распространялся под видом архива якобы от Минобороны и лже-повесток. Во всех случаях атаки были нейтрализованы системой для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз F6 Managed XDR. ➡️ Анализ одного из вредоносных вложений на Malware Detonation Platform от компании F6.

«Мамонт» не прижился в Беларуси 📍 Чем отличается ландшафт скама и что угрожает жителям Республики — в большом исследовании F6. Активное противодействие мошенникам в России привело к тому, что организаторы криминального бизнеса стали присматриваться к странам, где пользователи не менее доверчивы и тоже при деньгах. Беларусь одной из первых встретила нашествие схем, заимствованных киберпреступниками из России. Особенности атак ⬇️ ▪️ Мошенники практически не используют домены .by. Защита доменной зоны .by от мошеннических ресурсов укрепляется, в том числе благодаря соглашению между F6 и белорусским провайдером hoster.by. Мошенники создают сайты в других доменных зонах, чтобы продлить срок их «жизни». ▪️ «Мамонт» не прижился. Группы, которые работают по этой схеме на международном уровне, обходят Беларусь по причине слаженной работы банков и правоохранителей. ▪️ Банковские личные кабинеты угоняют через Telegram-боты. Это уникальный сценарий обмана, который используется только в Беларуси. Топ-8 популярных схем скама, используемых против пользователей из Беларуси ⬇️ 1️⃣Инвестиционное мошенничество. Адаптация схемы не слишком затратна: достаточно подстроить «российские» шаблоны под местные новости и региональную специфику. 2️⃣Розыгрыши от имени банков. Отличие от России — только в сумме «подарка». Россиянам обычно обещают перевести на карту 3000 рублей, а белорусам — в пять раз больше: 600 белорусских рублей (более 16 000 ₽). 3️⃣Фишинг банковских аккаунтов через Telegram-боты. Рекламу мошеннических ботов размещают в соцсетях или рассылают через мессенджеры. 4️⃣Угон аккаунтов Telegram и WhatsApp. Одна из самых популярных приманок — фейковое голосование в духе «У меня дочка в конкурсе участвует, проголосуй, пожалуйста» со ссылкой на сторонний ресурс. 5️⃣Блокировка iPhone через авторизацию в iCloud злоумышленника. После того, как пользователь авторизуется в аккаунт мошенника, его устройство блокируют. Далее — требование выкупа без гарантий. 6️⃣Фейковые компенсации. Приманка — реклама мошеннических сайтов, которые предлагают получить «официальную компенсацию» от государства. Но есть нюанс: оплата «комиссии». 7️⃣Фишинг на почтовые компании. Пользователям приходит сообщение о посылке, которую не могут доставить, например, из-за неточного адреса. Ссылка уводит на мошеннический сайт. 8️⃣Фейковые опросы. Приманка — подарок от известного бренда за участие в опросе. ❗️ Подробнее о ландшафте скама в Беларуси и о том, как в стране борются с киберпреступниками — читайте в блоге.

📢 Этим летом Павел Серов, руководитель Security Operations Center (SOC) «Столото», крупнейшего распространителя государственных лотерей в России, прошел обучение по курсам от компании F6 «Криминалистика Linux» и «Тестирование на проникновение». Зачем топ-менеджерам обучение по информационной безопасности и можно ли рекомендовать курсы от F6 коллегам — Павел рассказал в этом видео. В интервью: ▪️Почему выбрали курсы от F6? ▪️Что из материалов курсов уже пригодилось в работе? ▪️Оценка работы тренеров F6. Смотрите на любой удобной платформе⬇️ 📺 VK Видео 📺 YouTube 📺 RuTube

EDR 3.0 🔥 F6 разработала EDR-агент, поддерживающий отечественные ОС. Все больше компаний переходит на российские операционные системы. Злоумышленники учитывают эту тенденцию и адаптируют инструменты под Linux. ‼️Ответная модификация средств защиты — острая необходимость для бизнеса. Особенности F6 EDR 3.0: ▪️ Поддержка отечественных ОС: RedOS, Astra, POCA и др. ▪️Собственный protector-модуль, не позволяющий удалить агент даже с высокими привилегиями. ▪️ Передача телеметрии с использованием прокси-сервера. ▪️ Единый локальный интерфейс для взаимодействия с агентом на всех ОС. ▪️ Расширенный сбор телеметрии для глубокого поиска скрытых угроз и повышения качества детекта без влияния на производительность ОС.

Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз (MXDR) F6: С выходом версии 3.0 F6 закладывает архитектурную основу для будущих обновлений — гибкую и быструю платформу, в рамках которой клиенты смогут получать улучшения и новые функции еще быстрее. В ближайшее время планируется выход нового EDR-агента для Windows и MacOS.

➡️ Узнать больше о F6 EDR

📢 «Июль 2025-го стал самым кровавым месяцем на цифровом фронте». Анастасия Меркулова, директор по маркетингу F6 — в интервью на «РБК Компании». Тезис «Меня это не коснется» больше не работает. Почти половина промышленных компаний остаются в зоне критического риска. Цена ошибки — клиенты, выручка и доля на рынке. Директор по маркетингу F6 Анастасия Меркулова в экспертном интервью рассказала: 〰️как за один месяц остановились авиаперевозки, фарма и ритейл, а миллионы людей впервые ощутили атаку лично; 〰️почему ритейл обогнал банки по доле фишинговых атак; 〰️каковы новые тактики группировок; 〰️что чаще всего упускают ИБ-подразделения компаний; 〰️как Индекс кибербезопасности показывает уязвимости глазами атакующих и превращает хаос сигналов в понятный план действий. ➡️ Читать интервью

Новые вымогатели на сцене 😧 Рассказываем, как устроена группировка Bearlyfy. Специалисты F6 Threat Intelligence и Лаборатории цифровой криминалистики и исследования вредоносного кода F6 исследовали динамику развития новой группы и ее TTPs. Что это за группировка?

Деятельность Bearlyfy впервые зафиксировали в начале 2025 года. Группа использует программы-вымогатели LockBit 3 (Black) и Babuk. Меньше чем за год участники Bearlyfy перешли от мелких атак к сложным кампаниям против крупных промышленных предприятий. Деятельность группировки пересекается с инфраструктурой другого известного игрока — PhantomCore.

Тактика и техники ⬇️ Bearlyfy использует модель атаки с минимальной фазой подготовки и прицельным фокусом на достижение немедленного эффекта. Начальный доступ осуществляется через эксплуатацию внешних сервисов и уязвимых приложений. Основной инструментарий направлен на шифрование, уничтожение или модификацию данных. Атаки развиваются быстро, с применением стандартных средств lateral movement и RMM-инструментов. Часть инструментов группировки — модифицированные версии утилит с открытым исходным кодом. Записки с требованием выкупа создаются не программами-вымогателями, а непосредственно атакующими. ➡️ Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform). Главные цифры ⬇️ ▪️ На август 2025 года количество жертв группировки — не менее 30. ▪️ В последней зафиксированной атаке злоумышленники запросили €80 тыс. в криптовалюте. ▪️ Каждая пятая жертва выкупает у злоумышленников декрипторы. Как связаны Bearlyfy и PhantomCore?

PhantomCore — группа, атакующая российские и белорусские компании с 2022 года, впервые обнаруженная специалистами F6 в 2024 году. Группа, вероятно, действует в интересах Украины, поскольку именно оттуда были впервые загружены тестовые образцы самописных ВПО.

▪️ В апрельской атаке группа Bearlyfy использовала MeshAgent. Анализ семпла позволил выявить список серверов. Часть указанной инфраструктуры использовалась группировкой PhantomCore при проведении атаки на российскую промышленную компанию в марте 2025 года. ▪️ IP-адрес, используемый в июньской атаке на консалтинговую компанию, также связан с одной из атак PhantomCore. Подробнее о новой группировке Bearlyfy — читайте в нашем блоге.

Город засыпает... просыпаются мошенники 👀 Они покупают неиспользуемые телефонные номера, взламывают аккаунты и продолжают свои дела в тени. Как распознать их схемы, которые куда сложнее, чем кажутся? Разбираемся на бесплатном вебинаре 🔥 «Мошенничество под контролем: разбор актуальных схем» Когда? 30 сентября в 11:00 Что будем делать? Выясним, как устроены схемы, описанные в F6 Fraud Matrix («Матрице фрода»), а также расскажем, как их детектировать с помощью F6 Fraud Protection в различных техниках матрицы. Какие схемы рассмотрим? ▪️ Выкуп «спящих» номеров. ▪️ Ночные дети. ▪️ ВПО и NFCGATE. ➡️ Регистрируйтесь на вебинар и становитесь частью антифрод-сообщества!

Сколько стоит пробив клиента банка на теневом рынке? F6 всё изучила — показываем цифры ⬇️ Борьба за персональные данные ужесточается, и услуги пробива информации пользуются огромным спросом. ▪️ Средняя цена пробива клиентов российских банков выросла в 1,5 раза за год и в 3 раза за пять лет. Сейчас она составляет ₽10 000 — ₽15 000. ▪️ Цены на банковские аккаунты резко выросли — с ₽1000 в 2021 году до ₽28 000 в 2025-м. Это связано с внедрением дополнительных антифрод-систем, верификацией пользователей и блокировкой за любое подозрение в мошенничестве. ▪️ Теневые услуги по установлению личности по биометрии тоже стали дороже. С 2023 года стоимость увеличилась в 2,5 раза, до ₽13 000, а поиск по базам распознавания лиц в 2025-м обходится минимум в ₽30 000. ▪️ Стоимость серых SIM-карт на подпольных форумах практически не меняется последние годы и составляет ₽1500.

Лада Крюкова, руководитель отдела исследования и мониторинга андеграунда департамента киберразведки (Threat Intelligence) F6: Ситуация на теневом рынке обусловлена тем, что организации и правоохранительные органы активно борются с инсайдерами, тщательно следят за предоставлением доступа к чувствительным данным, а это ведет к нестабильности рынка услуг незаконного распространения конфиденциальной информации о пользователях.

😉 Борьба с киберпреступностью

😎 Почему Гарри Поттеру было легче, чем начинающему пентестеру? Большой лонгрид об аудите и консалтинге в кибербезе от эксперта F6. Продолжаем приоткрывать внутреннюю кухню кибербезопасности — знакомим с нюансами и издержками профессии, расшифровываем сложные процессы, делимся реальными кейсами. Сегодня мы заглянули за кулисы аудита и консалтинга и поговорили с Александром Соколовым, директором сервисного блока F6. Внутри ⬇️ ▪️ Чем аудиторы в кибербезе похожи на врачей? ▪️ Как F6 проводит редтиминг? ▪️ Может ли клиент просить убрать уязвимости из отчета? ▪️ Зачем в кибербезе актерское мастерство? ▪️ Почему «внешний пентест» — самая востребованная услуга? И еще много всего интересного🔥 ➡️ Хайлайты собрали в карточках, а лонгрид полностью читайте на сайте F6.

⚡️ Дипфейки бойцов СВО: F6 обнаружила новую схему, нацеленную на участников спецоперации и их семьи. Злоумышленники создают сайты-двойники благотворительных фондов, на которых под предлогом финансовой поддержки бойцов и их родных предлагают получать по ₽500 тыс./мес. за счет участия в фейковой инвестиционной программе. Для достоверности указывают, что программа якобы создана «по приказу президента», а «вклады застрахованы государством». ❗️ Для обмана мошенники размещают видеодипфейки с отзывами от имени участников СВО: на реальные кадры с бойцами накладывают чужие голоса. В схемах, направленных против участников спецоперации, использование этой технологии зафиксировано впервые.   ▪️ Сценарий стандартный: оставление заявки на сайте и звонок от «персонального менеджера» с консультацией по инвестированию. Также злоумышленники могут предложить установить вредоносное приложение для получения контроля над устройством. ▪️ Основные приманки: сообщения в Telegram-чатах, объединяющих семьи участников СВО, реклама в интернете, спам-письма по электронной почте. Специалисты F6 направили домены сайтов-двойников на блокировку. 😉 Борьба с киберпреступностью

📢 «Перейти от тревожности к предметному разговору». Кирилл Дедов — о пользе Индекса кибербезопасности при защите периметра банков. У финансовых организаций есть SOC, процессы ИБ и управление доступами. Но внешний периметр — сайты, приложения, забытые тестовые стенды — часто остаются уязвимыми. Именно через такие точки и проникают злоумышленники. 🎥 В новом видео рассказываем, как Индекс кибербезопасности F6 предоставляет чёткие источники данных, понятную методологию и привязку к бизнес-рискам, а также указывает: где уязвимость, чем она грозит и что делать. Смотреть ⬇️ 📺 VK Видео 📺 RuTube

SOC F6 впервые вошел в обзор российского рынка коммерческих SOC от Anti-Malware 🔥 Мы можем говорить о наших мощных продуктах бесконечно, но на этот раз за нас это сделали обозреватели Anti-Malware. Российский рынок коммерческих центров мониторинга ИБ (SOC) становится конкурентнее и технологичнее. Тем ценнее войти в обзор и стать одним из почетных вендоров 👍

Anti-Malware: F6 предлагает инновационный подход к кибербезопасности через сервис SOC MDR. В отличие от традиционных решений, ориентированных на пассивный мониторинг, F6 реализует активную модель защиты, где специалисты не просто фиксируют угрозы, а оперативно нейтрализуют их без необходимости вмешательства клиента. Основа сервиса — комбинация технологий и экспертизы. F6 ежедневно обновляет базу знаний о злоумышленниках и способах реализации атак. На основе данных собственной киберразведки, а также данных полученных в рамках оказания услуг лаборатории компьютерной криминалистики, специалисты SOC MDR используют актуальные технические и тактические данные для реализации механизма обнаружения и выстраивания правильной стратегии реагирования на выявленные угрозы.

‼️Главный вывод: команда F6 не только отслеживает подозрительную активность, но и берет на себя весь процесс реагирования — от анализа до устранения угроз. Благодаря этому клиент получает защиту в реальном времени, не отвлекаясь на технические детали и сохраняя концентрацию на собственных задачах. ⭐️ И бонус для тех, кто пропустил! Один из выпусков подкаста «Шестой отдел» мы посвятили именно нашему SOC ➡️ Как выглядит процесс мониторинга и реагирования на ИБ-инциденты, мифы и легенды SOC и еще много интересной внутрянки — на VK Видео, RUTUBE и YOUTUBE.

Потерять данные — неприятно, а не знать, что делать — ещё хуже. Как справиться с обеими ситуациями — объясняем в подробном гайде. Инцидент с утечкой ПДн — это не только техническая проблема, но и комплекс юридических, процессных и коммуникационных вызовов. Пошаговый гайд от экспертов F6 убережет от паники, штрафов и потери доверия в случае, если вашим персональным данным вдруг устроили побег. Внутри — ответы на ключевые вопросы: 💚 Какой порядок действий предписан законодательством РФ? 💚 Как работают оборотные штрафы и как оценить потенциальные убытки? 💚 Каких действий важно избегать в первые часы после инцидента? 💚Какие меры помогут минимизировать риски и последствия? Обязательно прочитайте этот материал, сохраните его и перешлите коллегам. ➡️ Читать гайд Надеемся, он вам не пригодится, но быть готовыми к инциденту надо всегда

Как атакуют через почту в 2025 году? Ответ — в новом White Paper «Как защитить почту от сложных угроз» с примерами опасных рассылок и тенденциями. Разбираем сценарии атак через почту и как от них защищает F6 Business Email Protection: ▪️«Документ во вложении, пароль: 123» Как маскируют вредоносные программы, почему их сложно распознать и как F6 BEP детонирует ВПО. ▪️Письмо от начальства: «Срочно ознакомьтесь», «Переведите оплату подрядчику» BEC-атаки: как это работает, какие хитрые трюки используют злоумышленники, чтобы обмануть сотрудников. ▪️ «Обновите пароль по ссылке» Фишинг: как его маскируют и что происходит с письмом «с ловушкой» при проверке в F6 BEP. ➡️ ПОЛУЧИТЬ МАТЕРИАЛ

⚡️ Как действует новая киберпреступная группа ComicForm? Аналитики F6 изучили ее атаки — рассказываем. Департамент киберразведки F6 (Threat Intelligence) с мая по август фиксирует рассылки, направленные на компании из сфер финансов, туризма, биотехнологий, исследований и торговли. Сценарий атаки ⬇️ ▪️Сотрудникам приходили вредоносные письма под темами: «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и др. ▪️Письма подталкивали пользователей открыть вложения со спрятанной вредоносной программой-загрузчиком, которая устанавливала на компьютер жертвы стилер FormBook для кражи данных.   ❗️ Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на GIF-изображения с супергероями, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя ComicForm.   ▪️Для фишинговых рассылок злоумышленники используют адреса, зарегистрированные на доменах верхнего уровня .ru, .by и .kz. Характерный признак группы — использование в качестве обратного адреса ящика rivet_kz@..., зарегистрированного в бесплатном российском почтовом сервисе. ▪️Помимо вредоносных вложений, злоумышленники используют поддельные страницы сервисов для хранения документов. Переходя по ссылке из письма, жертвы попадали на фишинговые формы авторизации, откуда их данные переправлялись на удаленные серверы преступников. Подробнее о новой киберпреступной группировке ComicForm и ее атаках — в новом блоге TI F6.

Какие мошеннические схемы используют злоумышленники? Это и многое другое разберем на вебинаре с экспертами Digital Risk Protection F6. Бренды находят в цифровой среде новые возможности, а вместе с ними и серьезные угрозы — поддельные аккаунты, фишинговые сайты, утечки, репутационные атаки. 2 октября в 11:00 встречаемся на вебинаре «Как защитить бренд с Digital Risk Protection. Практические кейсы и ключевые риски» Вот что обсудим вместе с экспертами ⬇️ ▪️ Почему бренду нужна защита? Узнаем, как репутационные и финансовые риски влияют на развитие компании и доверие клиентов. ▪️ Актуальные угрозы в 2025 году. Объясним, к каким сценариям атак стоит готовиться бизнесу уже сегодня. ▪️ Реальные кейсы. Поделимся практическими примерами и результатами внедрения Digital Risk Protection. ▪️ DRP как часть стратегии бренда. Поговорим о том, почему DRP становится обязательным элементом в системе кибербезопасности и цифрового роста компаний. ‼️Вебинар будет полезен для руководителей, ИБ-специалистов и всех, кто отвечает за развитие и защиту бренда в диджитал. ➡️ РЕГИСТРАЦИЯ Пересылайте этот пост коллегам! Увидимся 2 октября в 11:00 😎