Борьба с киберпреступностью | F6

Мошенники атакуют россиян фейками о новых социальных выплатах к 9 Мая.   ▪️ Аналитики Digital Risk Protection F6 зафиксировали в Telegram-каналах волну фейковых новостей о несуществующих выплатах. В списке как семейные пособия, так и выплаты «каждому гражданину РФ в размере от 38 925 рублей без учета нуждаемости». Для правдоподобности мошенники предлагают уточнить точные сроки получения денег «в местном отделении соцзащиты» или ознакомиться с инструкцией в канале. ▪️ Новости о выплатах — приманка, чтобы увести пользователя по ссылке из поста в Telegram-бот. Он уже предложит получить 50 000 рублей и уведет пользователя в мошеннический канал об инвестициях. Подписчикам обещают увеличить доход в сотни раз и призывают перечислить деньги на банковскую карту, номер которой указан в сообщении. ▪️ Каналы, публикующие фейки про социальные выплаты к 9 мая, действуют более года. Большую часть времени они размещают реальные новости на тему соцподдержки, но в определенные периоды выпускают фейки. У каналов от 37 тыс. до 280 тыс. подписчиков, в описании отсутствуют отметки о регистрации в РКН. В декабре 2024 года аналитики F6 уже фиксировали массовую атаку на жителей России, которую проводили эти каналы, размещая ложные сообщения о предновогодних выплатах. 😉 Борьба с киберпреступностью

Спецагент на задании, расследование громкого убийства, история любви парня-инвалида и поход первой советской атомной подлодки. Публикуем рейтинг фильмов, которые пираты чаще всего копировали в апреле. В прошедшем месяце интересы пиратов и зрителей охватили все киножанры — место в топ-10 нашлось криминалу, боевикам, мелодрамам и даже триллеру с Юрой Борисовым. Вот как топ-10 выглядит полностью: 1️⃣ «Черный чемодан – двойная игра» 2️⃣ «Опустошение» 3️⃣ «Микки 17» 4️⃣ «Северный полюс» 5️⃣ «Новокаин» 6️⃣ «Кончится лето» 7️⃣ «В потерянных землях» 8️⃣ «Западня» 9️⃣ «Пепел» 1️⃣0️⃣ «Список заветных желаний» Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце. 😉 Борьба с киберпреступностью

⚡️ Кибератака, которой не было. Но произойти она могла с любой компанией. Представьте, что пятничное утро у ИБ-отдела одной компании началось не с кофе, а с сообщения на всех рабочих мониторах: «Все ваши файлы зашифрованы. Чтобы восстановить их, напишите на нашу почту. Срок — 24 часа». Кажется, путь один — следовать инструкциям и узнавать сумму выкупа. Пока работа стоит, бухгалтерия не может провести платежи, а логистика на паузе, в новостях уже появляются слухи об инциденте. Каждая минута простоя съедает несколько сотен тысяч рублей. ⬆️ Ситуация развивалась бы по-другому, если бы в компании был внедрен F6 Managed XDR. Решение позволяет: ✅ Остановить атаку на раннем этапе и не позволить злоумышленникам вывести бизнес из строя. ✅ Оперативно отреагировать на угрозы, управляя процессом из единой консоли. ✅ Собрать и проанализировать телеметрию со всех слоев инфраструктуры: трафик, хосты, почта. ✅ Связать разрозненные события в цепочку атаки, определить источник угрозы. ✅ Автоматизировать защиту от киберугроз, снизить нагрузку на SOC. 😉 В статье рассказываем, как F6 Managed XDR предотвращает сложные атаки и защищает бизнес.

👀 Как использовать смарт-часы без риска для собственных данных? На связи команда F6, и сегодня мы запускаем новую рубрику — «Кибершпаргалка». Зависимость от гаджетов растет, чего не скажешь про уровень осведомленности о киберугрозах и методах их предотвращения. Мы будем отталкиваться от насущных, даже бытовых, вопросов и объединим полезные советы, которые сами даем близким, когда те оказываются в непонятной ситуации. ➡️ Здесь нет скрытой рекламы и тайных «механизмов продвижения». Эксперты делятся личным опытом, чтобы сделать мир вокруг безопаснее. 💚 Первая шпаргалка от консультанта по кибербезопасности Сергея Золотухина.

⚡️ F6 зафиксировала активность группировки Core Werewolf против военных организаций Беларуси и России.

Core Werewolf — кибершпионская группа, которая атакует организации, связанные с ОПК, объекты критической информационной инфраструктуры. Первые атаки были замечены в августе 2021 года. В своих кампаниях группа использует ПО UltraVNC и MeshCentral.

‼️🇧🇾 2 мая на общедоступную онлайн-песочницу был загружен .eml-файл. Электронное письмо (рис. 1) было отправлено 29 апреля с адреса al.gursckj@mail[.]ru и содержало вложение — защищенный паролем архив с именем «Списки_на_нагр.7z», который специалисты F6 отнесли к арсеналу группы Core Werewolf. ▪️ Внутри архива находился 7z-архив «Списки на уточнение вс представляемых к награждению гос награды.exe». Запуск исполняемого файла приводил к распаковке файлов во временный каталог, инициации отображения PDF-документа (рис. 2), запуску CMD-скрипта и в результате — активации на устройстве жертвы UltraVNC.

Файлы-приманки в виде наградных списков уже неоднократно использовались в атаках этой группировки, наряду с файлами, содержащими координаты военных объектов, и прочими документами.

➡️ Анализ файла из атаки на F6 Malware Detonation Platform ‼️🇷🇺 17 апреля специалисты F6 обнаружили еще один вредоносный исполняемый файл — undoubtedly.exe, загруженный на сервис VirusTotal и приписанный группе Core Werewolf. PDF-файл-приманка «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf» в архиве содержал информацию военного характера, поэтому вредонос, вероятно, применяли в атаках на российские военные организации. ▪️ Помимо PDF-файла, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с участием файлов exception.bat и divine.bat. В результате запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы. ➡️ Подробности атак описали на Habr

Что делать при компрометации номера мобильного телефона? Объясняем в третьем эпизоде мини-курса «Золотой час». 🔊 Смартфон вдруг замолчал, и никто не может до вас дозвониться, хотя устройство заряжено и работает исправно? Проверьте, не получил ли кто-то доступ к вашему номеру. Злоумышленники могут сделать это разными способами: например, перевыпустить сим-карту по поддельной доверенности. 🔑 Ваш номер — золотой ключик от множества дверей: от личного кабинета в «Госуслугах» и почтового ящика до аккаунтов в соцсетях. Если злодеи похитили сим-карту или получили доступ к номеру, они могут получить доступ во все эти сервисы. В третьей серии нашего мини-курса руководитель департамента обучения F6 Светлана Бурикова объяснила, что делать, если ваш номер угнали. А предыдущие серии проекта смотрите по ссылкам ниже: ➡️ Эпизод 1. Что делать при компрометации данных карты? ➡️ Эпизод 2. Что делать при компрометации учётной записи госсервиса?

😧 Желающие отдохнуть на Черноморском и Балтийском побережьях рискуют потерять деньги из-за мошенников. Специалисты Digital Risk Protection F6 обнаружили новую схему перед сезоном отпусков. Скамеры размещают в соцсетях видео с предложением выгодно снять квартиру или дом, а для бронирования присылают фишинговую ссылку. Размер ущерба достигает 140 тыс. руб. 🎥 Подробнее — в видео. Не попадитесь — если что, мы предупреждали 👀

⚡️Группировка Hive0117 провела масштабную фишинговую кампанию с использованием ВПО DarkWatchman. Принципу «Давайте уже после праздников» киберпреступники не следуют и расслабляться не дают. 29 апреля специалисты F6 Threat Intelligence отследили активность группировки Hive0117, которая провела масштабную фишинговую атаку, ориентированную на российские компании. Целевые отрасли: медиа, туризм, финансы и страхование, производство, ритейл, энергетика, телеком, транспорт, биотехнологии.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Цели были выявлены в России, Беларуси, Литве, Эстонии, Казахстане.

Система F6 Managed XDR зафиксировала и заблокировала массовую рассылку писем с темой «Документы от 29.04.2025», отправленных с адреса manager@alliance-s[.]ru на 550+ адресов (рис. 1). ⤵️ Внутри — вложение в виде защищенного паролем архива, распространяемого под именами: ▪️«Док-ты от 29.04.2025.rar» (MD5: 8be367b5521e30979f9a4ca3f5bb04fa); ▪️«Документы от 29.04.2025.rar» (MD5: 91e85f333ce0a8547f438c98f158e685); ▪️«Документация от 29.04.2025.rar» (MD5: 52046d44d6e4dbf55ba03b0c177ac838). Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией ВПО DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты. 🔍 Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные (рис. 2), что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году. Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru — «Акт сверки №114-23 от 29.09.2023[.]zip». ‼️ Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов. 😉 Борьба с киберпреступностью

Перед 9 Мая мошенники предлагают «заработать» до 30 млн руб.   В преддверии Дня Победы аналитики Digital Risk Protection F6 обнаружили рекламу инвестиционного мошенничества с использованием бренда государственного фонда «Защитники Отечества». ▪️ Заработать до 30 млн руб. можно якобы в рамках «социального проекта», «используя ресурсы и возможности России» = инвестируя в акции российских компаний. Для убедительности злоумышленники размещают фейковые комментарии от людей, которые уже «получили» крупные выплаты. ▪️ Сайты разработаны по шаблону, предположительно, в рамках партнерской мошеннической программы. От пользователей стандартно просят ФИО и телефон — по нему и звонит «персональный менеджер». Предложить могут не только покупку акций, но и установку приложения, которое предоставит преступникам контроль над устройством.

Евгений Егоров, ведущий аналитик Digital Risk Protection F6: Использование бренда государственного фонда «Защитники Отечества» в сценариях инвестскама мы зафиксировали впервые. Организаторы схем инвестиционного мошенничества регулярно пытаются играть на патриотической тематике. Например, в октябре прошлого года скамеры создали сайты несуществующей организации «Спецфонд ВПК», через которые предлагали инвестировать в оборонную промышленность.

❗️ Специалисты F6 направили на блокировку в НКЦКИ (Национальный координационный центр по компьютерным инцидентам) данные веб-ресурсов, которые мошенники используют от имени фонда «Защитники Отечества». Сейчас эти сайты уже заблокированы на территории России. 😉 Борьба с киберпреступностью

Уже более 20 лет наша компания изучает огромные айсберги киберугроз, на которые может напороться организация или целая индустрия. Исследовать лишь верхушку айсберга недостаточно для защиты бизнеса, поэтому киберразведка научилась видеть то, что скрыто от глаз и находится на глубине. 🔍 Киберразведчики получают данные из множества источников — реальные атаки, инфраструктура злоумышленников, используемые инструменты и TTP (Tactics, Techniques, Procedures). 📢 Как киберразведка помогает бизнесу, какие разведданные существуют и почему сейчас все хотят получать данные не только о фидах, но и о TTP — рассказала Елена Шамшина, технический руководитель департамента киберразведки F6, в подкасте о Threat Intelligence (TI) на платформе Global Digital Space. Смотреть здесь ⬇️ 📺 VK Видео 📺 YouTube 📺 RUTUBE 📝 Дзен 😉 Борьба с киберпреступностью

❗️ Учебный год не заканчивается — он в самом разгаре. Вот на какие мощные программы F6 приглашает в мае. 1️⃣ Анализ данных киберразведки Когда: 14-15 мая 2025 г. Кто: Светлана Бурикова, руководитель Образовательного центра F6. Зачем: чтобы грамотно собирать информацию о киберугрозах и дополнять процессы кибербезопасности данными TI для более эффективного реагирования. Для кого: для специалистов с опытом ИТ/ИБ, сотрудников команд SOC и CERT, всем заинтересованным во внедрении или интеграции процессов Threat Intelligence. 2️⃣ Сетевая криминалистика Когда: 20-21 мая 2025 г. Кто: Михаил Николаев, старший тренер по компьютерной криминалистике. Зачем: чтобы эффективно собирать сетевые цифровые доказательства, расследовать инциденты различной сложности, применять данные киберразведки. Для кого: для специалистов по ИБ и реагированию на инциденты, аналитиков SOC/CERT,  компьютерных криминалистов. 3️⃣ Исследование атак шифровальщиков Когда: 27-29 мая 2025 г. Кто: Михаил Николаев, старший тренер по компьютерной криминалистике. Зачем: чтобы использовать методы криминалистики хоста для реагирования на атаки, определять тактики, техники и процедуры (TTP), используемые атакующими, осуществлять меры противодействия атакам операторов-шифровальщиков. Для кого: ИБ-специалисты, технические специалисты с опытом в ИБ, специалисты по реагированию на инциденты. ➡️ Детали о курсах и стоимость можно уточнить, написав нам на почту education@f6.ru или заполнив форму на сайте.

🎉 F6 — спонсор киберфестиваля Positive Hack Days! В своем видеоприглашении Валерий Баулин, генеральный директор F6, рассказал, с какими докладами выступят эксперты компании на PHDays, что интересного они представят и что можно будет увидеть на их стенде. До встречи на PHDays Fest 22–24 мая в «Лужниках»!

Назвали незнакомцам код из СМС и вдруг поняли, что это код доступа к личному кабинету госсервиса? Без паники! Шанс предотвратить неприятные последствия выше, если начать действовать сразу и по четкому плану. 📢 Во второй серии нашего мини-курса руководитель департамента обучения F6 Светлана Бурикова поделилась рекомендациями, что делать при компрометации учетной записи госсервиса. А первый ролик про неотложные действия при компрометации банковской карты смотрите здесь. 😉 Борьба с киберпреступностью

⚡️ Свежие сводки об утечках стали одной из главных новостей недели. В колонке для «Коммерсантъ» CEO F6 Валерий Баулин рассказал о критической ситуации с утечками баз данных российских компаний и попытками государства навести порядок с защитой персональных данных. Собрали главное ⬇️ ▪️Новое законодательное регулирование в области защиты персональных данных следует рассматривать как логичную реакцию на создавшуюся критическую ситуацию. ▪️ После внедрения новых норм должность ИБ-руководителя может стать одной из наиболее уязвимых в системе управления рисками. ▪️ Санкции вряд ли приведут к снижению количества кибератак. Профессиональные хакерские группы, атакующие отечественные компании извне, не подчиняются российскому законодательству. ▪️ Еще полтора два-года назад я говорил о том, что количество строк в утекших базах данных уже превысило численность населения России. ▪️Утечки уже давно не вопрос денег. Большинство похищенных баз данных выложены в публичный доступ (в основном в Telegram-каналах) бесплатно для нанесения наибольшего ущерба компаниям и их клиентам. ▪️ В условиях продолжающегося геополитического конфликта количество кибератак и число хакерских групп будет расти. Следовательно, регулирование способно сократить последствия инцидентов и повысить готовность компаний к атакам, но не повлияет на мотивацию и активность самих злоумышленников. 😉 Борьба с киберпреступностью

⚡️ Компания F6 обнаружила принципиально новую сборку NFCGate. ▪️ О схеме с вредоносным ПО на основе NFCGate мы уже писали здесь, а о связке NFCGate и CraxsRAT — здесь. В феврале 2025-го аналитики F6 зафиксировали новую версию, которую используют в так называемой «обратной» схеме. Вот как работает «хищник 2.0» ⬇️ Приложение адаптировали под сервис для мошеннических колл-центров. Вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты. Затем они под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле — преступникам. ❗️ Ущерб клиентов российских банков от всех вредоносных версий NFCGate за I квартал 2025 года — 432 млн рублей. Средняя сумма ущерба от обратной версии NFCGate по итогам марта — 100 тыс. рублей. Собрали семь основных технических отличий обратного NFCGate от предыдущих модификаций ⬇️ 1️⃣ При установке приложения не надо прикладывать карту к NFC-модулю и вводить ПИН-код. 2️⃣ Для использования «новой сборки» требуется меньше разрешений, чем для легитимного NFCGate. 3️⃣ Маскировка под приложение для бесконтактных платежей. 4️⃣ Для воспроизведения NFC-трафика не требуются root-права. Злоумышленники запрашивают установку ВПО в качестве платежной системы по умолчанию. 5️⃣ Расширен перечень команд, получаемых с сервера злоумышленников. 6️⃣ Вредоносный софт скрыт с главного экрана смартфона. Найти приложение можно только в настройках. 7️⃣ Усложнено обнаружение антивирусами и другими средствами детектирования вредоносного софта. Читать все подробности в блоге.

👀 Уйди в туман, запутай след На CTI-митап обмениваться мнениями, опытом и кейсами отправится Владислав Азерский, заместитель руководителя Лаборатории цифровой криминалистики и исследования вредоносного кода F6 😎 Счастливчиков, успевших зарегистрироваться, ждем 26 апреля в 14-00. ➡️ О чем поговорим? Разберем особенности противодействия злоумышленников криминалистическому анализу. Благодаря артефактам, собранным с атакованных систем, DFIR-специалистам удается восстановить если не всю цепочку действий атакующих, то хотя бы её ключевые этапы. Это возможно до тех пор, пока преступники не начнут использовать в арсенале различные техники антифорензики в ОС Windows и Linux. Суббота будет интересной 🔥

📢 Как F6 Malware Detonation Platform ежедневно защищает компании от угроз? Каждый день F6 Malware Detonation Platform анализирует более 3 млн файлов из разных источников, выявляя вредоносное ПО. 💚 Примеры таких находок мы собираем на портале «Отчеты MDP». Это публичная база кейсов, которая показывает: ▪️как MDP детонирует вредоносные файлы и ссылки; ▪️какие артефакты и сетевые соединения оставляет ВПО; ▪️поведение вредоносного кода, цепочки процессов, техники и тактики атакующих. Расследования апреля: ▪️Zeppelin ▪️Rezet ▪️Hive0117 ▪️WhiteSnake Новые отчеты выходят регулярно 😎 ➡️ Смотреть боевые кейсы бесплатно и без авторизации 🖱 Чтобы бесплатно протестировать платформу для детонации ВПО, напишите на info@f6.ru

📢 Telegram 1:0 Утечки. Количество сливов баз данных российских компаний снизилось почти на треть — всё благодаря блокировкам в Telegram. С января по март аналитики департамента киберразведки F6 зафиксировали 67 новых случаев публикации баз данных российских компаний на андеграундных форумах и в тематических Telegram-каналах. Это на 29% меньше, чем в первом квартале прошлого года. ▪️ 46%+ — утечки ритейла и интернет-магазинов. ▪️ 13% — утечки госсектора. Также в зоне риска IT-компании, интернет-сервисы, телеком и образовательные порталы. 🔑 В открытом доступе оказалось порядка 99,7 млн строк пользовательских данных — ФИО, адреса, пароли, телефоны, даты рождения, паспортные данные.

Никита Кислицин, технический директор F6: С января мы фиксируем активные блокировки закрытых Telegram-чатов, которые распространяли утекшие базы. В итоге количество новых утечек сократилось почти на 30%. По нашим данным, администрация Telegram начала жестче блокировать чаты и каналы за нелегальный контент, спам и подозрительную активность. Еще одной причиной, повлиявшей на статистику, стало повторное распространение старых случаев утечек.

Публичные утечки остаются одной из главных угроз для бизнеса. Не расслабляйтесь 👀 😉 Борьба с киберпреступностью

⚡️ Забудьте шлюпки, флотилия пиратов сейчас состоит из крейсеров и авианосцев. F6 представила рейтинг поставщиков нелегального контента. Ключевые цифры из исследования: ▪️ CDN (Content Distribution Network) — главное хранилище и дистрибьютор пиратских фильмов, сериалов и трейлеров к ним. 12 основных CDN снабжают пиратским видеоконтентом до 90% нелегальных онлайн-кинотеатров. ▪️ Доходы российских интернет-пиратов за последние шесть лет снизились с $87 млн до $36 млн, при этом объемы распространяемого контента растут. ▪️ 12,5 млн пиратских файлов и 110 тыс. пиратских доменов были заблокированы в 2024-м. Топ-5 самых популярных CDN у российских пиратов: 1️⃣ Alloha; 2️⃣ Rewall; 3️⃣ Lumex; 4️⃣ Kodik; 5️⃣ HDVB. Ресурсы, входящие в инфраструктуру CDN, хостятся в Нидерландах, США, Германии, Франции и на Украине, что затрудняет их блокировку. Хотя пример ликвидации крупнейшего видеобалансера Moonwalk CDN говорит о том, что… 😑 Смекаешь? …уязвимости существуют, с ними можно работать. ⬇️ Специалисты F6 Digital Risk Protection инициировали проверку 500 пиратских сайтов и выяснили, что 39% ресурсов небезопасны — они содержали вирусы, уязвимости или присутствия в «черных списках» антивирусных компаний и поисковиков. СКАЧАТЬ ИССЛЕДОВАНИЕ ❗️ Все собранные в новом исследовании доказательства нарушений авторских прав и технические данные об инфраструктуре правонарушителей направлены в правоохранительные органы и регуляторам для усиления борьбы с онлайн-пиратством.

В Страстную пятницу разбираем пристрастия и грехи, которые для пользователей часто заканчиваются финансовыми потерями, а для мошенников — прибылью. Киберпреступники играют на человеческих слабостях, но это часть нашей природы, с которой бороться тяжело. А вот с мошенниками — проще, если знать нужные инструменты. ➡️ В карточках разбираем, как классические грехи превращаются в схемы атак, и подсказываем, какие технологии F6 помогают их предотвратить. ⚡️ Попробуйте решения F6 бесплатно в течение месяца — и убедитесь, как они работают на практике.