Борьба с киберпреступностью | F6

📢 Математика угроз. Кто и зачем атаковал российские компании в этом году? 16 декабря мы выпустили итоговый релиз «Киберугрозы-2025». В этом посте разбираем ключевые тезисы об атаках в условиях геополитического противостояния. ▪️ В 2025 году рост числа прогосударственных групп, атакующих Россию и СНГ, незначителен — 27 против 24 в прошлом году. 〰️ Семь новых группировок были раскрыты впервые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081. 〰️ Топ-5 индустрий-целей прогосударственных групп: госучреждения, промышленность, НИИ, предприятия ВПК, ТЭК. Также аналитики зафиксировали повышенный интерес злоумышленников к IT-компаниям. ▪️ Наиболее активными группами-шифовальщиками в этом году стали Bearlyfy/ЛАБУБУ (не менее 55 атак) и THOR (не менее 12 атак). 〰️ Малый и средний российский бизнес с целью выкупа больше всего атаковали Mimic/Pay2Key, Proton/Shinra и C77L. 〰️ На программы-вымогатели (шифровальщики) Mimic/Pay2Key и LockBit 3 Black пришлось до 25% и 21% инцидентов. Proton/Shinra — 11,4%, Babuk — 10,2%. ▪️ Помимо групп, использующих программы-вымогатели, в 2025-м активность сохраняли 20+ финансово-мотивированных группировок. Наиболее примечательные из них: Vasy Grek, Hive0117, CapFIX. ‼️ Фокус политически мотивированных групп смещается на нанесение большего ущерба за счет использования программ-вымогателей. В 2025 году более десяти таких группировок отметились хотя бы одной атакой с использованием этой разновидности ВПО. 😉 Борьба с киберпреступностью

Пиратские итоги года 😑 Собрали рейтинг фильмов, которые чаще всего копировали в этом году. Со старыми привычками прощаться тяжело — поэтому, несмотря на развитие стримингов, россияне всё равно продолжают активно пользоваться пиратскими ресурсами. Боевики, фантастика, драмы на основе реальных событий — всё это в топе за 2025 год ⬇️ 1️⃣ «Опустошение» 2️⃣ «Хищник: Планета смерти» 3️⃣ «Ущелье» 4️⃣ «Кирпич» 5️⃣ «Под прикрытием» 6️⃣ «Франкенштейн» 7️⃣ «Финикийская схема» 8️⃣ «Пойман с поличным» 9️⃣ «F1» 1️⃣0️⃣ «Компаньон» Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составлял список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено. И теперь мы подвели итоги прошедшего года. 😉 Борьба с киберпреступностью

🏆 История успеха: как «МТС Юрент» выстроил работу с угрозами в постоянно меняющемся бизнесе. Цифровой бизнес редко бывает стабильным. Инфраструктура растет и сжимается, партнеры подключаются и отключаются, нагрузка скачет по сезонам, а доступы множатся быстрее, чем их успевают пересматривать. МТС Юрент — один из крупнейших сервисов кикшеринга в России. Полностью цифровой продукт, распределенная инфраструктура и небольшая команда ИБ. Здесь невозможно «закрыться регламентами» — защита должна опираться на актуальные данные и работать в реальном времени. 🎥 В этой истории успеха мы показываем, как в «МТС Юрент» выстроили динамическую модель угроз вокруг F6 Threat Intelligence и зачем она понадобилась бизнесу. Смотрите интервью с CISO «МТС Юрент» Германом Обручниковым на любой удобной платформе ⬇️ 📺 VK Видео 📺 YouTube 📺 RuTube Или читайте «Историю успеха» на сайте.

В середине 2000-х два брата из Петербурга поняли: банк можно ограбить не выходя из квартиры. Что из этого вышло — смотрите в видео 😎 В новом эпизоде ИИ-сериала о киберпреступности от F6 и @SecLabNews — история двух братьев-хакеров. В мае 2015 года их квартиру взяли штурмом. Попытка смыть в унитаз полмиллиона рублей, сим-карты и флешки провалилась, но несмотря на все улики братья отделались условными сроками. После этого они развернули настоящий криминальный бизнес. 🎥 Чем всё закончилось — рассказали в ролике.

🎅 По-настоящему «тайный» Санта. F6 и RuStore проанализировали самые популярные схемы онлайн-мошенничества перед Новым годом.   Среди них оказались как традиционные кампании с розыгрышами призов, так и новые — например, Telegram-бот с игрой в «Тайного Сайту». Вот как работает схема ⬇️ ▪️ Злоумышленники создают фейковые сайты — якобы платформы для исполнения желаний. ▪️ Чтобы получить подарок, надо перейти в Telegram-бота. ▪️ Там пользователь заполняет анкету и указывает желаемый подарок. ▪️ Система якобы «находит» человека, готового исполнить желание. ▪️ Для подтверждения участия бот требует подписаться на список Telegram-каналов, в который могут входить как безобидные ресурсы, так и каналы, связанные с инвест-скамом. ‼️ В результате жертвы рискуют потерять деньги или данные карт. Вот как еще обманывают мошенники в декабре ⬇️ ▪️ фейковые розыгрыши и акции; ▪️ мошенничество с арендой загородных коттеджей на Новый год; ▪️ «продажа» красной икры через домовые чаты и Telegram-ботов; ▪️ поддельные версии мобильных приложений магазинов с фейковыми новогодними акциями или подарками.

Дмитрий Морев, директор по информационной безопасности RuStore: Важно внимательно проверять отзывы о сервисах перед покупками, а также использовать только официальные приложения для оформления заказов и скачивать их из официальных магазинов таких, как RuStore. Мошенники часто требуют 100% предоплату — явный признак обмана. Регулярное обновление ПО и использование антивирусных программ помогут снизить риски заражения устройства вредоносным ПО.

➡️ Чтобы праздники не были испорчены, ознакомьтесь с рекомендациями и не теряйте бдительность.

‼️ До 40% трафика в сервисах формируют боты. Объясняем, в чем их опасность и как защититься. По данным Дмитрия Ермакова, руководителя Fraud Protection F6, «интеллектуальные боты» — одна из критических угроз. Их используют как для мониторинга цен и акций конкурентов, в том числе для переманивания клиентов, так и для киберпреступной деятельности. 🔍 Злоумышленники могут с помощью ботов атаковать любые компании, где есть авторизация клиентов. Такие атаки «умных» ботов низкочастотные, для одного запроса формируется уникальный IP-адрес и отпечаток устройства. Что делают боты ⬇️ ▪️ собирают конфиденциальную информацию; ▪️ пытаются проникнуть в личные кабинеты; ▪️ проверяют достоверность данных из украденных баз, наличие учетной записи пользователя в сервисе для дальнейших атак; ▪️ генерируют бесконечное количество запросов для остановки работы ресурса. 👀 Как защититься? Компании могут защититься от подобного рода атак с помощью сложных решений, умеющих в режиме реального времени отличать активность пользователя от бота и блокировать последних с высокой точностью, независимо от масштаба атаки и сложности используемых ботов. Модуль Preventive Proxy в решении F6 Fraud Protection защищает приложения и API заказчика от бот-активности: автоматизированных запросов регистрации и авторизации. 😉 Борьба с киберпреступностью

F6 Digital Risk Protection: что изменилось в продукте в 2025 году? Весна и осень 2025 года стали периодом системных обновлений F6 Digital Risk Protection. Развитие продукта было сфокусировано на усилении управления цифровыми рисками и предсказуемости аналитики. Коротко о главных апдейтах ⬇️ ▪️ Инциденты и интеграции Обновлённый API позволяет напрямую добавлять ресурсы в систему и получать результаты проверок по сигнатурам. Это сокращает путь от обнаружения угрозы до реагирования и упрощает работу между ИБ, юристами и подрядчиками. ▪️ Автоматический трекинг ресурсов Ресурсы в статусе наблюдения перепроверяются ежедневно. Если контент меняется или ресурс снова активен, статус обновляется автоматически — без ручных действий и устаревших данных. ▪️ Расширение охвата цифрового поля F6 Digital Risk Protection усилил контроль над сайтами, рекламой, соцсетями и теневыми площадками. Добавлен поиск по изображениям для выявления фейковых сайтов с айдентикой бренда и обновлён модуль контроля контекстной рекламы с анализом заголовков, текстов и URL. ▪️ Быстрее реагирование Новый интерфейс Violations объединяет скриншоты, Whois, историю и обработку ошибок в одном окне. Появился индикатор изменений контента на основе HTML-снимков — статус обновляется автоматически. ▪️ Предсказуемые результаты для бизнеса Автоматизация снижает нагрузку на команды, а обновлённая логика приоритизации выводит вперёд угрозы, которые напрямую влияют на репутацию и бизнес-процессы. 💚 Планы на будущее В ближайших релизах — LLM для анализа неструктурированных источников, развитие scam intelligence и DRI-аналитики, единый changelog и новая скоринговая модель. Полный разбор обновлений и логики развития F6 Digital Risk Protection — в статье.

Как атакуют детей в интернете? F6 исследовала эволюцию мошенничества, направленного на несовершеннолетних. В 2025 году злоумышленники отошли от прямого фишинга в сторону длительных, продуманных атак, которые используют психологию и доверие ребёнка. За 10 месяцев уже зафиксировано 6000+ инцидентов с ущербом 850+ млн рублей. Топ-5 актуальных схем этого года ⬇️ 1️⃣ Социальная инженерия через игровые платформы. 2️⃣ Поддельные сервисы обучения и «курсы для школьников». 3️⃣ «Безопасные» задания, переходящие в вымогательство. 4️⃣ Ночные атаки с использованием биометрии родителей. 5️⃣ Подмена технической поддержки в детских приложениях. Это не просто уловки — это спланированные операции с глубоким пониманием детской психологии. Как защитить детей? Полный разбор схем с примерами и рекомендациями по безопасности — в нашей статье.

Криминальный лидер: новые версии Mamont распространяют через домовые чаты.   Троян удалённого доступа Mamont считают одной из главных угроз 2026 года из-за расширения функционала в новых версиях вредоносного приложения. ▪️ ВПО распространяют под видом списков погибших, раненых и пленных участников СВО, папок с фото и видео, а также антивирусов. ▪️ В 2025 году вредоносный файл рассылают по открытым группам, например, домовым чатам, а также по всем контактам скомпрометированных устройств. ▪️ Для большей вероятности запуска злоумышленники используют провокационные сообщения. APK-файлы называют «Фото_СтРашной_аварии» и сопровождают их текстом: «Ужас какой … насмерть разбился». ▪️ Общий ущерб от использования Mamont против клиентов российских банков только в ноябре 2025 года может превышать 150 млн рублей. Mamont образца декабря 2025 года позволяет злоумышленникам: 〰️читать все СМС пользователя, включая архивные; 〰️рассылать СМС с его телефона; 〰️находить на устройстве приложения банков, маркетплейсов, мессенджеров и соцсетей; 〰️получать данные о SIM-картах; 〰️отправлять USSD-запросы.

Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6: Сборка ВПО под конкретного пользователя происходит прямо в интерфейсе мошеннических баз данных (CRM) и занимает считанные минуты. NFCGate, который в 2025 году был главной угрозой для клиентов российских банков, в 2026-м станет всего лишь одной из опций Android-троянов.

‼️ Главная угроза новой версии Mamont: её функционал позволяет превратить пользователя скомпрометированного устройства в сообщника мошенников без его ведома. Подробности исследования, детали сценария атаки и индикаторы компрометации — в новом блоге.

📢 Интервью недели: Станислав Гончаров — о работе в кибербезе, нейросетях и work-life balance. Герой нового выпуска подкаста «Руцентра» — Станислав Гончаров, руководитель Digital Risk Protection F6. В ИБ работает с 2018 года, стоял у истоков направления защиты от цифровых рисков. Что обсудили ⬇️ ▪️ как защититься от киберугроз; ▪️ как расследуют киберпреступления; ▪️ каким навыкам не научат ни на одном курсе; ▪️ сможем ли мы жить без интернета; ▪️ зачем выступать на конференциях и что от этого получают конкуренты; ▪️ что делает государство и как помогает ИИ; ▪️ как будет выглядеть кибербезопасность через пять лет. Также поговорили о первой зарплате, хобби и о том, как жить на пороге выгорания. Смотрите интервью на 📺 VK Видео

⚡️ 83% компаний не тестируют безопасность регулярно. Рассказываем, что показало исследование SOC Forum 2025. Большинство компаний уверены, что внешний периметр под контролем. 82% из них оценивают свой уровень защиты как высокий. Но данные White Paper F6 показывают другую картину. ‼️ Уверенность ≠ устойчивость. Люди и их устройства — главный риск. ▪️ 46% сотрудников используют личные устройства или аккаунты для работы. Доступ к сервисам выходит за пределы управляемого контура. ▪️ 24% компаний не проводят проверки устойчивости сотрудников к фишингу. Одно неверное действие — и защита не успевает вмешаться. ▪️ 19% организаций не оценивают риски цепочки поставок. Ошибка партнёра автоматически становится вашей проблемой. ▪️ 82,9% компаний тестируют безопасность нерегулярно. Между проверками появляются новые сервисы, меняются конфигурации и возникают незаметные точки входа. Внешний цифровой контур — часть операционной устойчивости бизнеса. Уязвим периметр — уязвим бизнес. ⤵️ Скачать полные результаты исследования и приоритеты на 2025 год.

Атака на SharePoint: разбираем реальный кейс и даем рекомендации по защите. Microsoft выпустила критические патчи для SharePoint в июле. Но что происходит, пока компания решается их установить? Окно уязвимости превращается в распахнутые двери для атакующего. Пока вы ждете «удобного момента» для обновления, атакующий действует. Показываем его путь на примере реального инцидента — глазами нашего Центра Кибербезопасности F6. Операция SharePatch — три этапа работы аналитиков ⬇️ 1️⃣ По горячим следам: изоляция зараженного сервера и блокировка трафика со стороны клиента. 2️⃣ Новые находки: поиск по всем хостам на предмет наличия индикаторов компрометации, анализ криминалистически значимых артефактов. 3️⃣ Устранение последствий: полное удаление следов компрометации и устранение возможности повторения инцидента. ➡️ Подробный разбор кейса, все этапы работы и конкретные рекомендации — в нашей новой статье.

⚙️ Граф в киберразведке: как связи раскрывают инфраструктуру атак. Одиночные индикаторы почти ничего не значат. Один домен, IP или сертификат могут быть случайными. Реальная картина появляется, когда данные связываются между собой. Для этого в F6 Threat Intelligence используется графовый анализ ⬇️ ▪️ От сигналов к структуре. Граф связывает домены, IP, сертификаты, файлы, контакты и артефакты из даркнета в единую схему. Так становятся видны инфраструктура атакующих и логика кампании, а не набор разрозненных фактов. ▪️ Подтверждённые связи без шума. Граф автоматически очищается от ложных зависимостей: общий хостинг, смена владельцев IP, реселлеры доменов. В результате аналитик видит только релевантные и подтверждённые связи. ▪️ Временной контекст. Связи строятся с учётом периода активности объектов. Это позволяет отличать актуальные угрозы от устаревших следов и видеть развитие атаки во времени. ▪️ Гибкая глубина анализа. Можно быстро оценить ближайшее окружение объекта или развернуть полную схему атаки с C2-серверами, загрузчиками и цепочками распространения ВПО. ▪️ Практика расследований. В одном из кейсов F6 граф позволил из одного фишингового домена восстановить всю инфраструктуру кампании, включая цепочки PureCrypter и PureHVNC, и определить приоритетные точки блокировки. Графовый анализ помогает аналитикам ускорять расследования, бизнесу — понимать реальные риски, а руководству — принимать решения на основе наглядной и проверенной картины угроз. ➡️ Подробнее — в нашей статье.

Дипфейки давно стали рабочим инструментом мошенников. Поддельные голосовые сообщения и видео, сгенерированные ИИ, всё чаще используются в атаках на сотрудников компаний и обычных пользователей. ‼️ Узнаваемый голос, привычная манера речи и давление на срочность снижают критическое мышление и помогают злоумышленникам добиваться своего. Наш эксперт Сергей Золотухин разобрал шесть наиболее распространённых схем мошенничества с использованием дипфейков. Как их распознать и как от них защититься — рассказываем в новом выпуске «Кибершпаргалки».

❗️ Киберугрозы-2025: предварительные итоги года от F6. Общая интенсивность атак на российские компании вышла на плато, однако ключевые риски сохраняются. Подробнее — в релизе, а главные цифры — здесь ⬇️ ▪️ Утечки В открытом доступе оказались 760+ млн строк данных россиян. Аналитики выявили 225 новых утечек баз данных российских компаний (-45,5% год к году). Основной канал публикаций — Telegram. В зоне повышенного риска: ритейл, госсектор, профуслуги, здравоохранение и ИТ. ▪️ APT и политически мотивированные атаки В 2025 году F6 зафиксировала активность 27 прогосударственных групп. Основные цели — госорганы, промышленность, НИИ, ВПК и ТЭК. Растет интерес к ИТ-компаниям как к точке входа для атак на клиентов. ▪️ Вымогатели Рост атак замедлился до 15% (44% в 2024), но угроза остается актуальной. Рекордный запрос выкупа — 500 млн рублей. В 15% инцидентов цель не выкуп, а диверсия. Чаще всего атаковали промышленность, торговлю и ИТ. ▪️ Угрозы и векторы 32% инцидентов — управляемые человеком атаки. На втором месте — майнеры (26%). Основной путь компрометации — загрузка ВПО пользователями (66% от общего числа атак). ▪️ От фишинга к скаму Мошенники все чаще переходят к схемам с оплатой по QR-кодам и реквизитам. Число скам-ресурсов на бренд превысило фишинг. В 2025-м было заблокировано 7 357 скам-ресурсов на бренд (+14% год к году) и всего 3 851 фишинговый ресурс на бренд (+3,6% год к году). В начале 2026 года F6 выпустит подробный аналитический отчет для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, который послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.

📢 Что изменилось в F6 Managed XDR в 2025 году: обзор обновлений и планы развития. Киберугрозы становятся все сложнее: появляются новые методы атак, бизнес активнее переходит на отечественные ОС, а требования к защите усиливаются. Команда F6 MXDR обновила каждый модуль Managed XDR, расширила возможности для обнаружения современных угроз и оптимизировала реагирование. На бесплатном вебинаре подробно расскажем и покажем, как эволюционировал продукт в этом году. Когда? 18 декабря в 11:00 Что в программе? ▪️ Живая демонстрация обновлённых модулей системы. ▪️ Дорожная карта развития решения на ближайший год. ▪️ Сессия вопросов и ответов с экспертами. Спикеры: ▪️ Дмитрий Черников — бизнес-руководитель департамента детектирования и предотвращения угроз. ▪️ Алексей Мокеев — технический руководитель департамента детектирования и предотвращения угроз. ➡️ РЕГИСТРАЦИЯ Запись будет доступна для зарегистрировавшихся

GG WP 😧 Мошенники раскручивают FakeTeam FakeSteam, чтобы атаковать российских геймеров. На фоне блокировки Roblox аналитики Digital Risk Protection F6 отмечают активизацию атак на пользователей игровой платформы Steam. Приоритетная цель — инвентарь, который можно продать на сторонней площадке и получить за него реальные деньги. Также взломанный аккаунт можно использовать для распространения фишинговых ссылок среди друзей пользователя. Как действуют мошенники ⬇️ ▪️ Они создают сайты платформы, которые выглядят как настоящие. Задача: перевести пользователя на поддельную страницу и убедить его ввести логин и пароль. ▪️ Ловушки для пользователей Steam мошенники расставляют в YouTube, TikTok и Twitch — показывают фишинговый ресурс в коротком видео и уводят на него в описании к ролику. В случае с Twitch — злоумышленники через видео предлагают бесплатно получить скины для игр Rust и CS2, уводя пользователя на фейковый сайт Twitch. Уже оттуда жертву направляют на авторизацию в фишинговом Steam.

Александр Сапов, старший аналитик второй линии CERT Digital Risk Protection F6: В этом сценарии злоумышленники используют одноразовые ссылки для перехода на фишинговую страницу. Если пользователь попытается открыть страницу на другом устройстве или передаст ссылку кому-то ещё — например, как доказательство фишинга, — доступ к контенту будет закрыт. Это позволяет мошенникам продлить срок «жизни» фишинговых ресурсов, так как регуляторы не смогут открыть конечный контент и получить основания для блокировки.

Детали схемы описали в релизе.

Что стало с группой Carberp? Рассказываем в новом эпизоде CyberStory! Продолжаем ИИ-сериал о хакерах и киберпреступности от F6 и @SecLabNews. В 2012 году полиция разгромила группировку Carberp. Ее лидеры сбежали в Одессу, и история получила неожиданный поворот: «кавказский плен», совместная операция России и Украины против осколков Carberp и последующее основание новой группы с переосмысленной тактикой. Подробности — в видео 😎

Buhtrap снова в деле: F6 выявила новую активность по распространению ВПО через сайты-приманки для бухгалтеров и юристов.

Buhtrap — название вредоносного ПО и одноименной преступной группы, действующей с 2014 г. В 2016 году исходные коды Buhtrap были опубликованы в открытом доступе, после чего его стали использовать разные финансово-мотивированные атакующие. В последние годы злоумышленники рассылают фишинговые письма, а также используют взломанные или фейковые бухгалтерские веб-ресурсы, чтобы заразить системы российских организаций вредоносной программой Buhtrap.

▪️ После атак через сервис ЭДО (электронный документооборот) в III квартале 2025 года злоумышленники переключились на создание инфраструктуры для распространения ВПО через привычную схему с сайтами-приманками. ▪️ Пользователь переходит на сайт-приманку через поисковую выдачу. Ресурс предлагает скачать бланки-образцы для формирования отчетов о финансах. После нажатия на бланк скачивается архив с вредоносной нагрузкой. 🔍 Результат детонации ВПО — на F6 Malware Detonation Platform. Такой подход — через сайты-приманки — сильно увеличивает масштаб заражения. Ведь бухгалтерия и соответствующая отчетность есть везде, поэтому эта угроза актуальна для любых отраслей любого размера. Отличительные особенности атак через ЭДО — разобрали в блоге на Habr.