Борьба с киберпреступностью | F6

Киберпреступники могут месяцами скрываться в ИТ-инфраструктуре 😧У них достаточно времени, чтобы найти уязвимости, выгрузить персональные данные и подготовиться к шифрованию или полному уничтожению данных. Пока злоумышленники незаметны, они могут вывести бизнес из строя в любой момент: уничтожить серверы, опубликовать данные клиентов и сотрудников, полностью остановить работу. Но большинству атак сопутствуют цифровые следы в сетевом трафике. Их можно обнаружить еще на этапе разведки, когда хакеры ищут уязвимости компании. Об этом и других сценариях — в новом блоге из двух частей «Как защитить сетевой трафик» В первой части: ▪Как атакующие скрывают свои следы в трафике? Приемы с примерами ▪Как защитить безопасность сети? Особенности Firewall, NG Firewall, NTA ➡ ЧИТАТЬ ЧАСТЬ 1: Обзор угроз и решений Во второй части детально разберем Network Traffic Analysis, скоро расскажем о ней в нашем канале⚡ 😉 Борьба с киберпреступностью

В жизни всегда есть место кринжу. Даже во время самых серьезных киберинцидентов. 🔍С 28 по 29 июля специалисты F6 фиксируют массовую рассылку писем якобы от имени группы Belarusian Cyber-Partisans. Напомним, что это одна из двух групп (вторая — проукраинские хактивисты из Silent Crow), которая взяла на себя ответственность за совместную атаку на «Аэрофлот». ▪Выявленная рассылка велась минимум с 6 адресов по российским компаниям из таких отраслей, как промышленность, разработка ПО, ритейл, туризм, строительство, банки. Письма не содержат вредоносных вложений и ссылок. 😧Зато само письмо якобы было отправлено от имени основателя Chronopay Павла Врублевского. Напомним, что в 2013 году он был осуждён за организацию DDoS-атаки на конкурента — платёжный сервис «Ассист», обслуживавший в том числе и «Аэрофлот». В 2022 году Врублевский снова был задержан и отправлен в СИЗО по обвинению в мошенничестве в особо крупном размере и краже организованной группой. ▪В письме заявляется, что если Врублевского не отпустят из СИЗО до 23 августа, будут атакованы Банк России и ФСИН России. ▪Сам Врублевский в телеграм-канале за несколько часов до рассылки написал, что у него в связи со "взломом Аэрофлота" есть "железное алиби". ▪Кстати, мимикрия под преступные группы или хактивистов довольно распространена. Весной 2025 года была обнаружена похожая массовая рассылка от имени другой хактивистской группировки BO Team — тогда злоумышленники рассылали российским компаниям письма о том, что их инфраструктура находится под контролем и требовали "упредительный" выкуп в размере $2 000, дабы избежать атаки. 😉 Борьба с киберпреступностью

Берите, кто хотите: F6 обнаружила новый сценарий финансового мошенничества. 🔍 Как работает новая схема? Злоумышленники предлагают оформить виртуальную кредитную карту с лимитом в 100 тыс. руб. под 99% годовых (или 0,27% от суммы займа в день). Ограничений по возрасту, кредитной истории и другим критериям — нет. Под предлогом оформления карты скамеры просят заплатить комиссию в 3050 руб. 😧 Кто в зоне риска? Аналитики выяснили, что схема направлена против пенсионеров, людей в трудной жизненной ситуации и с плохой кредитной историей.

Евгений Егоров, ведущий аналитик Digital Risk Protection F6: При определении круга потенциальных жертв киберпреступники в первую очередь ориентируются на самые уязвимые слои населения, которым будет проще «продать» приманку. В данном случае цель злоумышленников — закредитованные граждане, нуждающиеся в деньгах, но в силу плохой кредитной истории не имеющие возможности получить новый кредит.

Как выглядит мошеннический сайт? ▪️Ресурс, обнаруженный в зоне .ru, сообщает, что выдачу кредиток одобряют «почти всем», а кредитная история «не важна». При регистрации требуется указать электронный адрес и придумать пароль, а в анкете — ФИО, паспортные данные, ИНН и СНИЛС, место работы, стаж и доход (скриншоты здесь) /ссылка/. ▪️Домен зарегистрирован 7 июля 2025 года от имени реальной организации, зарегистрированной в Санкт-Петербурге. На главной странице злоумышленники предупреждают: «Остерегайтесь мошенников!». ▪️Специалисты F6 подчеркивают высокий уровень проработки фейкового сайта: на его страницах почти нет орфографических ошибок, которые раньше были типичны для мошеннических сайтов. F6 также обращает внимание на использование реквизитов действующей организации. 😉 Борьба с киберпреступностью

Сливы подросли на CRM: специалисты F6 посчитали общее количество утечек баз данных российских компаний, впервые слитых в 2025 году. ▪️В январе-июне 2025 года аналитики Threat Intelligence F6 зафиксировали 154 новых случая публикации баз данных российских компаний, оказавшихся на андеграундных форумах и в тематических Telegram-каналах — это на 2,67% больше, чем в 2024 году. ▪️В открытом доступе оказалось 198,6 млн строк пользовательских данных, в том числе — ФИО, элекронные и физические адреса, пароли, даты рождения, паспортные данные, телефоны. ▪️Эксперты F6 отмечают, что 37% утечек приходится на ритейл-компании.

Дарья Городилова, аналитик Threat Intelligence компании F6: Несмотря на уменьшение количества публикуемых баз данных в первом квартале 2025 года, связанное, предположительно, с активной блокировкой администрацией Telegram тематических каналов, в апреле-июне злоумышленники продолжили публиковать данные скомпрометированных ресурсов. Они повторно создают Telegram-каналы, делая их приватными. Кроме того, начиная с апреля 2025 года, эксперты зафиксировали множество случаев публикаций данных, выгруженных, предположительно, из CRM-систем различных ресурсов.

Подробнее об исследовании — читайте на сайте F6.

Продолжаем серию скринкастов. Сегодня показываем, как мошенники общаются с жертвами, используя схему Fake Boss 🎥 Злоумышленники часто притворяются руководителями компании, чтобы заставить сотрудников выполнить их указания: перевести деньги или раскрыть конфиденциальную информацию. Обычно такие сообщения приходят в мессенджеры или на электронную почту, а дальнейшее общение проходит по телефону. Всё выглядит убедительно, ведь злоумышленники буквально копируют аккаунт реального начальника, а иногда используют голосовой дипфейк. Один из сценариев атаки по схеме Fake Boss показываем в видео. Оставайтесь в кибербезопасности ❤️

Лекции, воркшопы и демонстрации 🔥Эксперты F6 вновь отправились в седьмую Летнюю школу по практической ИБ в НИУ МЭИ — рассказываем, как это было 😎 Цель Школы — показать студентам реальную картину происходящего в ИБ и смежных областях. Команда приглашенных экспертов делает акцент на практике и личном «боевом» опыте. Случайных людей здесь нет — чтобы попасть в Школу, студенты должны пройти CTF-соревнование. В этом году это удалось 45 студентам 2–4 курсов МЭИ и Университета «Дубна». Таинственный мир кибербеза стал для ребят чуть прозрачнее — и вот благодаря кому ⬇️ 💚 Владислав Азерский выступил с тремя докладами: 1) «Охота на призраков: изучение сетевой инфраструктуры атакующих»; 2) «Уйди в туман, запутай след» (о методах противодействия криминалистическому анализу); 3) «Куда же упало яблоко, или искусство анализа триажа macOS». 💚 Ангелина Аникина в теории и на практике рассказала о расследовании человекоуправляемых атак в Linux системах. 💚 Тимур Черных выступил с докладом «Да кто такие эти ваши системные события и которые из них про безопасность?» 💚 Андрей Смирнов подготовил уязвимое приложение и продемонстрировал его эксплуатацию в рамках выступления «OWASP Top 10 глазами AppSec». 💚 Владислава Смирнова и Алексей Федосеев провели большой интенсив по работе с F6 XDR. 💚 Мария Талызина и Светлана Бурикова рассказали, где, как и кем можно работать в F6 и что нужно для этого знать и уметь. 💚 Иван Грузд провел лекцию «Бюджетный DFIR: добей лежачего» о реагировании без крутых СЗИ. По результатам Школы ребятам выдали номерные сертификаты о прохождения интенсива по SOC и подарили мерч F6. Надеемся, скоро компания и вся индустрия пополнится мощнейшими кадрами 😎

Как злоумышленники маскируют ВПО, в чем опасность публичных песочниц и зачем нужно «взрывать» файлы — все ответы в гайде от F6. Пара кликов по вредоносному файлу или ссылке могут стоить компании миллионы. В White Paper для бизнеса рассказываем, как вредоносное ПО проникает в систему через корпоративную почту, сетевой трафик и рабочие станции. Ключевые темы ⬇️ ▪️ Разбор сценариев атаки с замаскированным ВПО; ▪️ случаи, при которых антивируса недостаточно; ▪️ эффективность песочниц в защите компании от кибератак, а также риски публичных sandbox; ▪️ преимущества F6 Malware Detonation Platform. ➡️ СКАЧАТЬ ГАЙД

👀 Злоумышленники знают абсолютно всё о россиянах: паспортные данные, пароли, телефонные номера. Утечки персональных данных — одна из наиболее актуальных киберугроз. Как взаимодействовать с ними и как их защищать — рассказываем на нашем новом курсе ⬇️ 1️⃣Основы персональных данных: законодательство, обязанности и ответственность Когда? 13 августа 2025. Кто? Роман Сюбаев, руководитель отдела соответствия и консалтинга F6 Зачем? Чтобы узнать о действующих нормативных актах, видах персональных данных и роли обработчиков, а также разобраться в требованиях, предъявляемых к обработке данных, и формах ответственности за их нарушение. ➡️ Детали о курсе-лекции и его стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

👀 Чек-лист: как повысить уровень безопасности в общедоступном мессенджере. Кража учетной записи может привести не только к потере доступа, но и к утечке конфиденциальной информации, которая может быть использована для атак пользователей и даже компрометации данных целой компании. Евгений Янов, руководитель департамента аудита и консалтинга компании F6 рассказал, на что нужно обратить внимание для максимально безопасного общения в мессенджерах на примере Telegram и WhatsApp. ▪️Совет №1. Используйте встроенные механизмы защиты мессенджеров. Изучите вкладку «Безопасность и приватность» и укажите, какие данные и кому будут видны, кто может вам звонить, добавлять в чаты. ▪️Совет №2. Подвергайте сомнению все сообщения, где от вас требуют действий. Не спешите открыть неизвестный файл или перейти по ссылке. Также не сообщайте личные данные и не переходите в другие мессенджеры. ▪️Совет №3. Включите двухфакторную аутентификацию. После установки дополнительного пароля для входа в приложение злоумышленник не сможет попасть в ваш аккаунт, даже если украдет пароль. ▪️Совет №4. Периодически проверяйте активные сессии. Если обнаружите, что устройство в списке не ваше, как можно скорее закройте сессию и измените пароль. ▪️Совет №5. Проверяйте новых участников в чатах. Даже небольшие несоответствия в имени или стране могут указывать на поддельный или скомпрометированный аккаунт. Подробнее о безопасности в чатах мессенджеров рассказали на VC. Защищайте себя осознанно!

Манул охотится на жука и «павука», а на кого охотится весь кибербез? Не смогли пройти мимо завирусившегося мема (на первой карточке) и предложили свои варианты. 💜, если это про вас 😀, если лучше просто гладить котика, а не вот это вот всё

NyashTeam: F6 вскрыли инфраструктуру кибергруппы и инициировали ее блокировку. Большой блог от киберразведки.

NyashTeam — киберпреступная группировка, активная как минимум с 2022 года. Она продаёт через Telegram-боты и веб-сайты вредоносное ПО двух семейств – DCRat и WebRat, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры и поддерживает клиентов через плагины, гайды и инструменты обработки данных. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России.

🔍 В ходе исследования аналитики Threat Intelligence F6 и Digital Risk Protection F6 выяснили, что группировка распространяла вредоносный софт по MaaS-модели — она позволяет даже начинающим злоумышленникам выполнять сложные атаки без специальной подготовки. 💲Инструментами NyashTeam пользуются злоумышленники из разных стран мира из-за относительной низкой стоимости ВПО. Стоимость подписки на бэкдор DCRat — 349 руб./мес., а на ВПО WebRat — 1199 руб./мес. В большинстве случаев клиенты группировки распространяют ВПО через платформы YouTube и GitHub. 👀 Наибольшая активность регистрации вредоносных доменов и их использования пришлась на декабрь 2024 года и январь–февраль 2025-го. Так, клиенты группировки рассылали фишинговые письма с ВПО DCRat компаниям из сфер логистики, нефтегазовой добычи, геологии и IT. ❗️По данным на 21 июля 2025 года уже заблокированы 110+ доменов в зоне .ru. Также заблокирован Telegram-канал с исходным кодом WebRat и ряд обучающих видео на популярном видеохостинге. ➡️ Все детали исследования и индикаторы компрометации — читайте в новом блоге на сайте F6.

Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя Phobos. ▪️ Российские компании и физические лица, которые ранее пострадали от Phobos, теперь могут бесплатно и безопасно восстановить зашифрованные данные. Инструмент можно скачать на гитхабе F6 DFIR. ▪️17 июля был опубликован декриптор, разработанный специалистами правоохранительных органов Японии. Но эта утилита не поддерживает старые версии Windows и имеет ряд недостатков. 🔍 Впервые шифровальщик Phobos был замечен в октябре 2017 года, а активизировался с 2019 года. Вредоносная программа распространяется на киберпреступных форумах по модели RaaS (Ransomware as a Service). ➡️ Больше информации о семействах программ-вымогателей и декрипторов вы можете найти на нашем гитхабе F6 DFIR.

Ловушка для взрослых: мошенники открыли найм в OnlyFans. Объясняем, как работает новая схема.   Аналитики Digital Risk Protection F6 обнаружили новый сценарий мошенничества c удаленной работой. Злоумышленники размещают объявления о поиске модераторов сайта для взрослых. Удаленка, гибкий график, в пуле задач — обеспечение комфортной и безопасной среды для пользователей. Как работает схема ⬇️ 1️⃣Прицел на владельцев смартфонов на базе Android 7 и выше. 2️⃣Мошенники просят оформить подписку за 1₽ через фейковое приложение. Регистрация в нем нужна, чтобы работать — верифицировать новые анкеты моделей — и получать зарплату: 10 тыс. руб. в неделю на ту же карту. 3️⃣Если соискатель соглашается, скамер направляет ссылку, которая ведет на сайт only-fans[.]in, который маскируется под страницу магазина приложений Google Play. Под видом мобильного приложения OnlyFans пользователю предлагают скачать вредоносный APK-файл, позволяющий перехватить данные карты пользователя. Это не единственная схема с использованием бренда OnlyFans. Мошенники также завлекают пользователей интимными фото девушек, предлагая продолжить просмотр в фейковом приложении. Другой сценарий — предложение подписаться на тематические блоги экспертов в OnlyFans. С начала 2025 года только одна из скам-групп похитила у россиян почти 870 тыс. руб., используя схему с OnlyFans. 😉 Борьба с киберпреступностью

📢 Недавний крупный инцидент в сфере кибербезопасности в очередной раз доказал: ритейл — одна из наиболее уязвимых отраслей бизнеса. Почему? Разбираемся в третьем выпуске видеоподкаста F6 «Шестой отдел» — как «Индекс кибербезопасности» защищает от кибератак и экономит бюджеты. 🎙 Ведущим этого эпизода стал Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз (MXDR). Вместе с гостями — директором по маркетингу Анастасией Меркуловой и руководителем департамента Attack Surface Management (ASM) Николаем Степановым — выясняли, как измерить степень защищенности компаний и сколько они теряют на слепых зонах в инфраструктуре. Хайлайты выпуска: ▪️ Как измеряют уровень киберзащиты компаний? Почему «движком» Индекса стало решение ASM? ▪️ Почему самый высокий уровень защиты у банков, а самый низкий — у ритейла? ▪️ Кому нужен чек-ап кибербезопасности? ▪️ Сколько миллионов можно потерять из-за забытого лендинга? ➡️ СМОТРЕТЬ НА YOUTUBE ➡️ СМОТРЕТЬ В VK ВИДЕО ➡️ СМОТРЕТЬ НА RUTUBE

❗️ Поверхность атаки — ваша цифровая витрина. Доступна из интернета. Практически бесконтрольна. Разбираемся, почему бизнес теряет над ней управление и как F6 ASM помогает вернуть его.

Attack surface — это всё, что может быть видно и использовано злоумышленником: — веб-интерфейсы и публичные сайты; — API и мобильные бэкенды; — хосты, субдомены и DNS-записи; — открытые порты и службы; — устаревшие конфигурации и слабые TLS-сертификаты.

Откуда берется слепая зона в инфраструктуре? ▪️Внешние ресурсы и облачные решения не всегда попадают под контроль ИБ. ▪️Старые проекты забываются, а их домены, серверы и админки продолжают жить. ▪️Уволенные сотрудники или подрядчики оставляют сервисы открытыми. ▪️Отсутствует централизованная инвентаризация внешних цифровых активов. Как работает F6 ASM? Ключевые этапы ⬇️ 1️⃣Обнаружение активов. 2️⃣Оценка рисков. 3️⃣Выявление подозрительной активности. 4️⃣Актуализация внешнего периметра. Что получает компания? 💚 Полную и обновляемую карту внешнего цифрового периметра. 💚 Приоритетный список уязвимых и подозрительных активов. 💚 Визуализацию активов и их связей через граф. 💚 Рекомендации по устранению ключевых рисков. 💚 Историю изменений и отчёты по активности. ➡️ Узнать больше об ASM от F6

⚡️ Погружаемся в мир киберразведки и раскрываем секреты даркнета 😎 📍 Завтра, 18 июля, состоится онлайн-митап от СyberCamp, посвященный киберразведке. Организаторы и спикеры обещают отойти от разговоров о классическом Threat Intelligence, поэтому настраиваемся на поток инсайтов. Лада Крюкова, руководитель отдела исследования и мониторинга андеграунда TI F6, расскажет, как выявлять угрозы в даркнете, что такое проактивная разведка и как ее применить в исследовании даркнета. Также на митапе обсудят: 〰️анализ инструментов для OSINT активов компании; 〰️AI-фишинг; 〰️персонализированные модели угроз и многое другое. ➡️ ЗАРЕГИСТРИРОВАТЬСЯ Реальные кейсы, внутрянка и практические советы — всё для тех, кто хочет быть на шаг впереди злоумышленников. Встречаемся 18 июля в 13:30 мск 💜

⚡️F6 запустила SOC MDR ⚡️Новый сервис обеспечит заказчикам полный цикл автономного мониторинга, реагирования и расследования ИБ-инцидентов. SOC MDR объединяет передовые технологии и уникальную экспертизу F6, чтобы обеспечить постоянный контроль внешней инфраструктуры и внутренней сети. Почему это важно? 🔴 9 из 10 компаний имеют уязвимости на внешнем периметре, которые злоумышленники используют для проникновения. 🔴 Текущие системы часто не позволяют своевременно обнаружить и устранить угрозы, а также осуществлять централизованный мониторинг. 🔴 ИБ-команды компаний перегружены, и ликвидация угроз требует больших человеческих и технических ресурсов. Каковы преимущества SOC MDR? 💚 Выявление атак, управляемых человеком, ИИ-атак, а также на активное реагирование на угрозы до их реализации. 💚 Реагирование без участия клиента — изоляция устройств, блокировка вредоносных процессов, устранение угроз и восстановление инфраструктуры. 💚 Детальное расследование атак для выявления источника проникновения и предотвращения повторных инцидентов. 💚 В центре SOC MDR — система F6 Threat Intelligence. Сочетание данных киберразведки с собственными комплексными решениями противодействия угрозам позволяет держать под проактивным контролем все критические векторы атак. 💚 Уже внедренные средства защиты бесшовно интегрируются в аналитическую архитектуру сервиса, сохраняя предыдущие инвестиции и повышая уровень защищенности.

Ярослав Каргалев, руководитель Центра кибербезопасности F6: Наш клиент получает не просто сервис, а полноценную боевую ИБ-команду с доступом к экспертным знаниям, современным инструментам и возможностью на равных противостоять сложным атакам. Внешнее управление безопасностью «под ключ»: вместо бессильного ожидания — проактивная, интеллектуальная оборона, где команда F6 становится гарантом безопасности.

➡️ ПОДРОБНЕЕ О SOC MDR ⬅️

👀 В августе учимся выявлять угрозы и раскрывать тактики злоумышленников. Три курса — реальные навыки, которые работают 😎 1️⃣Основы защиты информационных систем Когда? 5–7 августа 2025. Кто? Ангелина Аникина, тренер по кибербезопасности. Зачем? Чтобы эффективно мониторить события информационной безопасности, быстро выявлять угрозы и отличать реальные инциденты от ложных тревог. 2️⃣Анализ вредоносного ПО Когда? 6—27 августа 2025. Зачем? Чтобы погрузиться в практику анализа вредоносного кода, научиться получать ценную информацию о функциональности вредоносных программ и раскрывать тактики, техники и процедуры, которые злоумышленники стараются тщательно скрывать. 3️⃣Реагирование на инциденты ИБ Когда? 19—21 августа 2025. Кто? Михаил Николаев, старший тренер образовательного центра F6. Зачем? Чтобы быстро реагировать на инциденты, грамотно устранять последствия и минимизировать риски для бизнеса. ➡️ Детали о курсах и их стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

«Столото» х F6: подводим итоги сотрудничества за полгода. В цифрах 😎 «Столото» и F6 за I полугодие 2025-го обнаружили и заблокировали 4 891 мошеннический ресурс, действовавший под видом популярных гослотерей, в том числе нелегально использовавших бренд «Столото»: ▪️ 4 702 — мошеннические сайты; ▪️ 126 — фейковые посты, аккаунты и группы в соцсетях; ▪️ 25 — сообщения в мессенджерах; ▪️ 38 — фейковые мобильные приложения. Объем обнаруженных и заблокированных ресурсов планомерно снижался в течение последних лет.

Станислав Гончаров, глава Digital Risk Protection F6: Наши специалисты видят, что фишинг и скам по-прежнему остаются в топе основных киберугроз для брендов. Замечена и другая тенденция: число мошеннических сайтов быстро уменьшается, если компания активно борется с цифровой преступностью с помощью современных технологий. Ярким примером такого сотрудничества является наша многолетняя работа с «Столото».

😉 Борьба с киберпреступностью

Кейс «О’КЕЙ» и F6 MXDR: как обезопасить одну из самых уязвимых индустрий — ритейл. Согласно «Отраслевому индексу кибербезопасности F6», ритейл-компании обладают самым низким уровнем защищенности от киберугроз. Среди наиболее актуальных: ▪️ утечки персональных данных, коммерческой тайны; ▪️ атаки на критичные информационные системы; ▪️ потенциальные простои сервисов. В 2022 году сеть гипермаркетов «О’КЕЙ» обратилась в F6 для автоматизации и усиления ИБ. Нам предстояло построить систему защиты распределенной по всей России инфраструктуры, в том числе обеспечить безопасность 77 супермаркетов и множества цифровых сервисов, а также 11,6 млн покупателей и 14 тыс. сотрудников. ❗️ Уже в первые месяцы скорость реакции на инциденты увеличилась на 70%, количество ложных срабатываний уменьшилось на 40%. Детали трехлетнего сотрудничества и его полные результаты — читайте в «Истории успеха» на сайте.

Павел Пивак, руководитель ИБ-направления сети гипермаркетов «О’КЕЙ»: С F6 мы работаем не первый год, и однозначно компания зарекомендовала себя как стратегический партнер по направлению ИБ, предлагая глубокую аналитику, встроенный Threat Intelligence и удобный интерфейс для работы аналитиков. Важным преимуществом стала возможность автоматизации реагирования на инциденты — это позволило разгрузить команду ИБ и сократить время на устранение угроз.

😉 Борьба с киберпреступностью