Борьба с киберпреступностью | F6

Что реально видно снаружи? F6 оценила защищенность Major Logistics.

Major Logistics — один из ведущих российских операторов транспортно-логистических услуг. Ежегодно компания выполняет 2+ млн отгрузок, а ее логистическая сеть охватывает 5500 российских населённых пунктов. Разветвлённая цифровая инфраструктура включает 19 интегрированных ИТ-систем и широкую сеть партнёров.

‼️Результат по F6 Cyber Identity Index: 66 из 100. SOC, EDR, процессы реагирования, бэкапы — всё на месте. При этом анализ показал, что зрелая защита не гарантирует невидимость. Индекс выявил: ▪️ устаревшее ПО на отдельных узлах; ▪️ открытые сервисы подрядчиков; ▪️ ошибки в SSL и DNS конфигурациях; ▪️ единичные следы активности на внешнем периметре. Эти детали не видны изнутри, но именно на них смотрят атакующие. Для Major Индекс стал инструментом управления зрелостью. Компания получила цифры, на которые можно опереться при планировании инвестиций и защите репутации. А рынок — сигнал, что устойчивость теперь можно измерять, сравнивать и показывать совету директоров. F6 Cyber Identity Index оценивает компанию по восьми направлениям — от уязвимостей инфраструктуры до следов в даркнете, а также показывает, где компанию могут атаковать уже сегодня. ➡️ Читать историю успеха Major Logistics

⚡️ Новая премия на кибергоризонте! Фонд «Сайберус» и Кибердом открыли прием заявок на «Киберпризнание» 🏆 И мы, разумеется, в деле 😎 ▪️ Оценивать номинантов будут 20 экспертов из российских ИБ-компаний. В состав жюри премии также вошел CEO F6 Валерий Баулин. ▪️ При поддержке F6 организаторы учредили номинацию «Форт киберустойчивости», побороться в которой могут компании, получившие Индекс кибербезопасности F6. Все номинации разделены на треки — «Люди», «Компании», «Общество», «Регионы». Наградят лучших наставников, трендсеттеров, вдохновителей, а также лучшие ИБ-инициативы года. 💚 Полный список номинаций — на сайте. Подайте заявку, и пусть ваш вклад признают!

Бензиновая ловушка 😧 Мошенники запустили новые схемы угона Telegram-аккаунтов. Два новых сценария обнаружили аналитики Digital Risk Protection F6. Первый направлен на водителей и владельцев транспортных средств, «пострадавших от ударов украинских беспилотников по топливной инфраструктуре». Второй — на военнослужащих. ‼️ Цель — после сбора персональных данных пользователя взломать его Telegram-аккаунт для угона или шпионажа. ➡️ Все подробности новых сценариев атаки рассказали на сайте и в карточках к посту.

Пока одни кликают на фейки и подвергают опасности свои данные, другие круглосуточно следят за цифровыми ловушками и делают всё возможное, чтобы обезопасить пользователей. В заключительном выпуске видеокурса «Антифишинг» — немного закулисья. Эвелина Переходюк рассказала о команде CERT F6, которая круглосуточно борется с фишингом. Каждый день мы отслеживаем и блокируем множество мошеннических ресурсов. За каждым из них — попытка украсть ваши данные, деньги, клиентов и репутацию. Смотрите выпуск на любой удобной платформе ⬇️ 📺 VK Видео 📺 YouTube 📺 RuTube А предыдущие серии видеокурса можно посмотреть здесь ⬇️ Выпуск 1. Что такое фишинг и чем он опасен? Выпуск 2. Как отличить фишинговый ресурс от настоящего? Выпуск 3. Чем отличаются фишинг и скам? Выпуск 4. Как работает самая масштабная и опасная фишинговая схема «Мамонт»? ❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки.

😧 Один символ = миллион рублей убытков. Рассказываем историю одного фермера — устраивайтесь поудобнее. Фермер оформил заказ на удобрения у привычного поставщика. Сайт выглядел официально: фирменный логотип, печать, подпись, счёт. Разница была только в адресе — в одной букве. Менеджер уверенно говорил о скидках «с завода», прислал коммерческое предложение и накладную. После перевода предоплаты связь оборвалась. Фермер обратился в реальный офис компании, где ему сообщили, что договор не заключался, а сайт, на который он заходил, не имеет к ним отношения. ‼️Расследование F6 показало: поддельных ресурсов несколько — копии страниц, те же документы, те же имена в подписях. Отличались только реквизиты. Такие схемы активно применяются в агросекторе. Сезонные закупки, спешка, доверие к брендам — всё, что нужно для атаки. Мошенники копируют цифровую идентичность компании, регистрируют похожие домены и собирают оплату от её имени. ⚙️ После расследования компании начали выпускать инструкции, как отличить оригинальный сайт от подделки, а также использовать систему DRP, которая помогает найти клон-сайты до того, как они украдут деньги и клиентов. Как именно работала схема и чем всё закончилось — рассказываем в блоге.

Важный апдейт у Unicorn ⚡️ Кибергруппа дополняет свой самописный стилер возможностями трояна удаленного доступа. Специалисты F6 Threat Intelligence фиксируют обновления стилера кибергруппы Unicorn, атакующей российские компании из разных отраслей с сентября 2024 года. Она проводит еженедельные рассылки и действует довольно шаблонно, используя одни и те же домены в качестве командного сервера (C2) и малоизменяемый самописный стилер Unicorn. ▪️ Изменение адреса управляющего сервера

11.08.2025 года группа зарегистрировала новый домен van-darkholm[.]org, который начала практически сразу использовать в атаках.

▪️ Изменения стилера Unicorn С осени мы наблюдаем, что группа предпринимает попытки модифицировать свой стилер, при этом цепочка атаки осталась прежней:

письмо с архивом -> HTA -> .VBS-скрипт (+ POST запрос на Discord) -> VBS-скрипты с подгрузкой модулей из реестра = стилер Unicorn.

Рассмотрим изменения на примере октябрьского образца, который использовался в рассылке в адрес финансовой отрасли. ➡️ Ссылка на анализ файла в F6 Malware detonation platform В последних атаках стилер Unicorn состоит из 3 пар сценариев (попарно идентичных): 1️⃣ history_log.vbs / permission_set.vbs

Скрипт, отвечающий за обход и эксфильтрацию файлов. Ссылка для эксфильтрации генерируется по следующему шаблону: hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{4,8}.

2️⃣ timer.vbs / shortcut_link.vbs

Скрипт, отвечающий за сбор tdata Telegram и данных браузера.

3️⃣ access_rights.vbs / music_list.vbs

Этот скрипт можно считать основным обновлением стилера. Он проверяет наличие команды, добавленной в реестр, и если она отсутствует, запрашивает ее, после чего добавляет запись в реестр (команда будет выполнена при следующем обходе). Проверяет наличие ключа реестра HKCU\Software\Redboother\Tool\ELZ. Если ключа нет, выполняет POST-запрос к серверу: hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{6,12} Ответом от сервера должен служить xml-объект, содержащий поля id и cmd. В случае их наличия, значения будут добавлены в реестр: — HKCU\Software\Redboother\Tool\ELZ для "id"; — HKCU\Software\Redboother\Tool\CZO для "cmd". Если размер содержимого превышает 2000 байт, оно будет раздельно записано в реестр по 2000 байт в ключи с именем {key_name}_{key counter}. Если при начальном обходе ключ реестра HKCU\Software\Redboother\Tool\ELZ существует, то декодирует команду и выполняет ее через executeglobal, то есть скрипт ожидает получить от сервера .vbs-сценарий. После выполнения команды отправляет POST-запрос с информацией о статусе выполнения команды.

▪️ Допущенные ошибки Стоит отметить ошибочную логику в коде злоумышленников, который подразумевает, что пары скриптов при запуске закрепляются в системе через создание ключа в ветке реестра. Изначально один скрипт из каждой пары закреплен в системе через планировщик задач, а второй — через создание ключа. При текущей реализации скрипты будут перезаписывать каждый себя в реестре, что может привести к отсутствию закрепления одного из них. Это может свидетельствовать о продолжающейся доработке стилера и попытке сделать его полнофункциональным инструментом. Индикаторы компрометации:

van-darkholm[.]org ИСХ № 582ОП-34 от 15.10.2025.zip - SHA1: f807369601c05ef3cff5be20afb1f5b6efbb8128 ИСХ № 582ОП-34 от 15.10.2025.hta - SHA1:db19bc2374bb2246a8bf26aaf4d95e8e911bbc84 %LOCALAPPDATA%\Dropboxy\Public\Magnify\history_log.vbs / %LOCALAPPDATA%\ClickUpster\List\Switcher\Desktop\permission_set.vbs - SHA1: 15879aa780bdd19f023f3326ae15e120c9c69c5a %LOCALAPPDATA%\Dropboxy\Paragraph\Resolution\timer.vbs / %LOCALAPPDATA%\ClickUpster\Select\shortcut_link.vbs - SHA1: faf1902580d1f0ef492c05e54442fd2f86f95738 %LOCALAPPDATA%\Outlooker\Version\Detach\Drag\access_rights.vbs / %LOCALAPPDATA%\ClickUpster\Unassigned\Drop\Tile\music_list.vbs - SHA1: 1052b5f089cfd36840f19e98adeb3fcab1f33f76

😉 Борьба с киберпреступностью

Как действовала самая сексуальная хакерша? 😧 Это не фраза для привлечения внимания. Россиянка Кристина, задержанная в 2010 году в США, была невольной соучастницей преступной группировки, похищавшей деньги с помощью трояна ZeuS. В СМИ ее назвали самой сексуальной хакершей. Представляем CyberStory — первый ИИ-сериал о хакерах и киберпреступности. Совместный проект F6 и @SecLabNews 😎 🔥 — если хотите продолжение

⚡️ Расследуйте инциденты в Linux до того, как они приведут к катастрофе. Случалось ли часами искать следы взлома в бесконечных списках событий, не понимая, где та самая зацепка, которая ведёт к разгадке? Хватит это терпеть! Наш интенсив — два дня погружения в практику, где вы научитесь проводить полноценное расследование от первой улики до полной картины атаки. Компьютерная криминалистика и реагирование на инциденты в ОС Linux Когда? 26–27 ноября. Кто? Ангелина Аникина, тренер по кибербезопасности F6. Что будем делать? Проводить глубокий анализ оперативной памяти и криминалистических копий дисков, расследовать инциденты актуальными инструментами, охотиться за цифровыми уликами и восстановливать хронологии атак, разбирать реальные кейсы. ➡️ Подать заявку можно по активной ссылке или по почте edu@f6.ru. Делитесь постом с коллегами, для которых тема расследований в Linux — актуальный вызов!

🐶 Как киберпреступники используют любовь к животным? Питомец в доме — это не только радость для хозяина, но и фактор риска. Злоумышленники знают, что фото с котиками собирают больше лайков, чем любые другие, а ради защиты любимой собаки от клещей владелец готов заказывать нужное заморское лекарство даже у сомнительных продавцов. Эксперт компании F6 Сергей Золотухин и его верный друг, русский охотничий спаниель Персиваль, в новом выпуске «Кибершпаргалки» собрали самые распространённые схемы, которые киберпреступники используют против любителей домашних животных.

🚀 «Плати быстро, соображай медленно»: продлить домен на год за 2190 рублей предлагают злоумышленники. Аналитики Digital Risk Protection F6 зафиксировали новую волну мошеннических рассылок администраторам российских интернет-ресурсов. Как работает схема: ▪️Через Whois-сервисы злоумышленники собирают информацию о доменах сайтов, срок регистрации которых подходит к завершению, и находят в открытых источниках контакты владельцев. ▪️От имени регистратора отправляют письмо о необходимости оплатить услуги и QR-код со ссылкой на быструю оплату через популярную платёжную систему. Однако платёж уходит не в адрес регистратора, а как перевод по номеру телефона. ▪️Для новой волны атак в период с марта по июль 2025 года мошенники зарегистрировали как минимум 6 доменов в зонах .RU, .ONLINE и .ORG. В этих доменах использован бренд регистратора в различных сочетаниях со словами «payments», «domainpay», «paydomain» и «payonlinehost». Под данным сервиса статистики, только в зоне .RU ежедневно продляется в среднем более 15 тыс. доменов. ➡️ Подробности мошеннической схемы, рекомендации специалистов F6 для владельцев сайтов – здесь.

👀 Онлайн-покупки, бронирование жилья, продажа техники — всё эти действия стали бы обычной интернет-рутиной, если бы не тяжелая поступь «Мамонта» — одной из самых масштабных мошеннических схем. Злоумышленники создают фейковые объявления, выманивают людей в мессенджеры и отправляют фишинговые ссылки, где просят ввести данные банковской карты. Иногда жертв обманывают дважды или трижды - при "возврате" товара. В новом видео Эвелина Переходюк, старший аналитик первой линии CERT компании F6 на примерах разбирает: ▪️ Как работает схема «Мамонт»; ▪️ По каким признакам можно распознать поддельный сайт; ▪️ Какие уловки используют мошенники; ▪️ И как не стать очередным «мамонтом». Смотрите новое видео до конца — расскажем, какие простые шаги помогут не потерять деньги и нервы. ❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки. Будьте начеку и смотрите видео на любой удобной платформе ⬇️ 📺 VK Видео 📺 RuTube

👀Новые курсы — концентрированный апдейт без багов и быстрая заточка скиллового топора! Эксперты F6 не рассказывают, “как надо”, — они показывают, “как работает”. Акцент исключительно на реальных кейсах и навыках, которые можно сразу применять в своей работе. ASM в действии: автоматизированная защита внешних сервисов Когда: 18 ноября 2025. Кто ведет: Кирилл Федоренко, специалист по тестированию на проникновение F6. ⚡️Научитесь выявлять уязвимости в публично доступных сервисах, понимать тактику атакующих и применять эффективные меры защиты, чтобы предотвратить кибератаки и минимизировать риски утечек данных Программа подойдёт IT-специалистам, отвечающим за защиту внешнего периметра и предотвращение кибератак. Основы персональных данных: законодательство, обязанности и ответственность Когда: 20 ноября 2025. Кто ведет: Роман Сюбаев, руководитель отдела оценки соответствия и консалтинга F6. 🔎Научитесь грамотно выстраивать все процессы обработки и защиты персональных данных, что позволит вам уверенно проходить проверки Роскомнадзора и сводить к минимуму риски утечек и серьезных правовых последствий Программа подойдет руководителям и специалистам, работающим с персональными данными. ➡️Программы платные. Подать заявку можно по активным ссылкам или по почте edu@f6.ru. Поделитесь анонсом курсов с теми, кому они актуальны!

👀Внешний периметр — одно из самых уязвимых мест для любой компании. Особенно если инфраструктура распределена: филиалы, подрядчики, облачные сервисы, тестовые узлы. Достаточно одного забытого домена или открытого порта, чтобы злоумышленники нашли путь внутрь. 🔎Логистический сервис «Грузовичкоф» проверил, насколько прозрачен его внешний контур. Для этого компания использовала систему управления поверхностью атак — ASM от F6. Результаты исследования: ▪️ выявлены неучтённые домены и сервисы, ▪️обнаружены ошибки в конфигурациях SSL и DNS, ▪️ автоматизирован контроль изменений на периметре. ⚙️Теперь команда видит всю инфраструктуру в одном окне и реагирует до того, как риск становится инцидентом. Полный кейс на сайте F6 https://www.f6.ru/resources/research-hub/success-story-gruzovichkof ⬅️

🛡Запросы вымогателей растут — угроза программ-шифровальщиков не ослабевает. Эксперты F6 изучили активность группировок в 2025 году: максимальная запрошенная сумма первоначального выкупа выросла на 67% по сравнению с прошлым годом до 400 000 000 рублей. В текущем году эксперты F6 зафиксировали более 450 атак различных группировок вымогателей на российские компании. Суммы первоначального выкупа за расшифровку данных в 2025 году в основном колебались от 4 000 000 до 40 000 000 рублей ($50000-$500000). 💲Финансовая мотивация была у злоумышленников только в 85% атак, в 15% инцидентов целью была диверсия и нанесение максимального ущерба. Чаще всего злоумышленники атаковали: ▪️производственные и инжиниринговые компании - 18,9%; ▪️предприятия оптовой торговли - 17%; ▪️розничные компании - 15,1%.

«Злоумышленники меняют тактику каждый день: чтобы грамотно защищаться, нужно понимать, как именно они действуют. Стать целью атак может стать любая российская организация независимо от размера или специализации. Специалисты F6 в свою очередь всеми силами стремятся помочь жертвам атак», — подчеркнул руководитель Лаборатории цифровой криминалистики F6 Антон Величко.

Деталями исследования группировок вымогателей руководитель и главный специалист Лаборатории цифровой криминалистики F6 Антон Величко и Андрей Жданов поделились в эфире онлайн-разбора Тренд-репорта. Ведущим нового видеоподскаста, который организовала школа повышения квалификации в кибербезопасности CyberED, выступил белый хакер и эксперт по кибербезопасности Егор Богомолов. Пилотный выпуск будет доступен в ближайшее время ⤵️

📢«Лояльность к бренду начинается с защиты данных». Никита Аронов, директор по стратегической трансформации бизнеса Innostage, рассказал о том, что доверие к бренду держится на ощущении надёжности — уверенности, что сервис не остановится, данные не утекут, а партнёр не выпадет из цепочки. Компании активно инвестируют в продвижение, но редко показывают, насколько их бизнес защищён. Эту «слепую зону» подсветил Индекс кибербезопасности F6 — инструмент, который помогает увидеть реальную киберустойчивость компании в цифровой среде. 🎥В новом видео рассказываем, как Индекс кибербезопасности F6 становится показателем зрелости бренда и его способности вызывать доверие не только у клиентов, но и у партнёров, инвесторов, рынка. Для маркетинга это новый аргумент. Посмотреть видео, а также узнать подробнее про Индекс кибербезопасности можно по ссылке ⬅️

📢 «Лояльность к бренду начинается с защиты данных». Никита Аронов, директор по стратегической трансформации бизнеса Innostage, рассказал о том, что доверие к бренду держится на ощущении надёжности — уверенности, что сервис не остановится, данные не утекут, а партнёр не выпадет из цепочки. Компании активно инвестируют в продвижение, но редко показывают, насколько их бизнес защищён. Эту «слепую зону» подсветил Индекс кибербезопасности F6 — инструмент, который помогает увидеть реальную киберустойчивость компании в цифровой среде. 🎥 В новом видео рассказываем, как Индекс кибербезопасности F6 становится показателем зрелости бренда и его способности вызывать доверие не только у клиентов, но и у партнёров, инвесторов, рынка. Для маркетинга это новый аргумент. Посмотреть видео, а также узнать подробнее про Индекс кибербезопасности можно по ссылке ⬅️

👀Открываем новости: «Школьница спалила квартиру, пытаясь вскрыть сейф родителей болгаркой», «Число атак мошенников на детей за два месяца выросло в 5 раз», «Подростка завербовали в мессенджере для поджога релейного шкафа». Закрываем новости.

«Злоумышленники активно атакуют семьи — детей и подростков. Они уязвимы, потому что доверчивы. Поэтому мы должны говорить с ними на их языке — не запрещать, а объяснять. Этот конкурс именно про это: как сделать цифровую безопасность понятной, живой и близкой», — отметил Станислав Гончаров, руководитель департамента Digital Risk Protection компании F6.

📢Компания F6 стала партнёром Всероссийского конкурса «КиберЗОЖ: Развиваем безопасный интернет для детей и подростков» — вместе с Комитетом Государственной Думы по защите семьи, Союзом блогеров РФ, коммуникационным агентством «НЕпросто PR», продюсерским центром «Счастье» и сообществом медиа-экспертов. Цель простая, но важная: научить детей, подростков и родителей распознавать цифровые угрозы и защищать себя от них. Без скучных лекций и бесконечных «нельзя». 💚Участвовать можно в четырёх номинациях — придумать, снять и опубликовать у себя в соцсетях видеоролик на тему: ▪️ Цифровая грамотность для самых маленьких (7–10 лет); ▪️Осознанное поведение в сети: инструкция для подростков (10–17 лет); ▪️Родителям и педагогам: как помочь ребенку в цифровом мире. ▪️ Креатив против угроз — мемы, интерактивные посты или видеоролики, которые доступно объясняют сложные темы. Приём заявок — до 15 ноября 2025. Победителей ждёт финал в Государственной Думе. ➡️Подробности конкурса по ссылке

Пилотный эфир нового видеоподкаста Тренд-репорт уже сегодня в 19:00. 🎙Онлайн-разбор Тренд-репорта проведут руководитель и главный специалист Лаборатории компьютерной криминалистики F6 Антон Величко и Андрей Жданов, белый хакер и эксперт по кибербезопасности Егор Богомолов (CyberED). Что будет в эфире: ▪️какие группы вымогателей атакуют российские компании и какие суммы выкупа запрашивали в последние годы; ▪️как пробивают: основные векторы первоначального доступа; ▪️какие есть техники проникновения и закрепления в инфраструктуре; ▪️какие навыки нужно развивать специалистам по кибербезопасности в 2025 году. ➡️Подробности и регистрация здесь

Один — тайна, два — полтайны, три — нет тайны 😼 А все тайны скрытых компрометаций раскроют наши звезды CyberCamp: Анастасия Петрова, Иван Грузд и Владислав Азерский. ⭐️ Анастасия Петрова, CISO компании Biocad, представит нюансы комплексного аудита ИТ-инфраструктуры на предмет уже состоявшихся и скрытых компрометаций. ⭐️ Иван Грузд, ведущий специалист по цифровой криминалистике и реагированию на инциденты компании F6, расскажет о нелегкой судьбе сисадминов и ИТ-специалистов общего профиля при отсутствии профильного ИБ-специалиста. Ваня подготовил практическое задание «По горячим следам», в ходе которого необходимо проанализировать артефакты чтобы обнаружить и обезвредить злоумышленника👻 ⭐️ Владислав Азерский, заместитель руководителя Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6, поделится опытом поиска следов компрометации в сегменте разработки с выстроенными процессами CI/CD. Влад подготовил практическое задание «Горький коммит», в котором предстоит восстановить картину инцидента ИБ. А еще к Владу можно попасть на карьерные консультации по темам: Incident Response l Compromise Assessment l Purple Teaming Ребята выступают в первый день докладов кэмпа — 21 октября, не пропустите 🔥 ©️ Регистрация l 😺 Чат

😧 Новость, которая заставит понервничать как белорусов, так и россиян, оформивших карты Visa и Mastercard в банках Беларуси. За два года число скомпрометированных карт с белорусской «пропиской» увеличилось почти в 2,5 раза. 🔍 Система F6 Threat Intelligence за период с октября 2024 года по октябрь 2025-го обнаружила более 4500 реквизитов платежных карт белорусских банков, которые размещены злоумышленниками в открытом доступе – в мессенджерах, на специализированных теневых форумах, в кардшопах в даркнете. ▪️ Киберпреступники используют реквизиты скомпрометированных карт, чтобы похитить деньги с карты пользователя или провести через неё и обналичить средства, похищенные у других жертв. В обоих случаях пользователи таких карт попадают в зону риска: им грозит либо потеря денег, либо невольное содействие преступникам. Подробности и рекомендации, как избежать компрометации банковской карты и что делать, если это случилось – на сайте F6.