⚡️ Забудьте шлюпки, флотилия пиратов сейчас состоит из крейсеров и авианосцев. F6 представила рейтинг поставщиков нелегального контента.

Ключевые цифры из исследования:

▪️ CDN (Content Distribution Network) — главное хранилище и дистрибьютор пиратских фильмов, сериалов и трейлеров к ним. 12 основных CDN снабжают пиратским видеоконтентом до 90% нелегальных онлайн-кинотеатров.

▪️ Доходы российских интернет-пиратов за последние шесть лет снизились с $87 млн до $36 млн, при этом объемы распространяемого контента растут.

▪️ 12,5 млн пиратских файлов и 110 тыс. пиратских доменов были заблокированы в 2024-м.

Топ-5 самых популярных CDN у российских пиратов:
1️⃣ Alloha;
2️⃣ Rewall;
3️⃣ Lumex;
4️⃣ Kodik;
5️⃣ HDVB.

Ресурсы, входящие в инфраструктуру CDN, хостятся в Нидерландах, США, Германии, Франции и на Украине, что затрудняет их блокировку. Хотя пример ликвидации крупнейшего видеобалансера Moonwalk CDN говорит о том, что…

😑 Смекаешь?

…уязвимости существуют, с ними можно работать.
⬇️
Специалисты F6 Digital Risk Protection инициировали проверку 500 пиратских сайтов и выяснили, что 39% ресурсов небезопасны — они содержали вирусы, уязвимости или присутствия в «черных списках» антивирусных компаний и поисковиков.

СКАЧАТЬ ИССЛЕДОВАНИЕ

❗️ Все собранные в новом исследовании доказательства нарушений авторских прав и технические данные об инфраструктуре правонарушителей направлены в правоохранительные органы и регуляторам для усиления борьбы с онлайн-пиратством.

В Страстную пятницу разбираем пристрастия и грехи, которые для пользователей часто заканчиваются финансовыми потерями, а для мошенников — прибылью.

Киберпреступники играют на человеческих слабостях, но это часть нашей природы, с которой бороться тяжело. А вот с мошенниками — проще, если знать нужные инструменты.

➡️ В карточках разбираем, как классические грехи превращаются в схемы атак, и подсказываем, какие технологии F6 помогают их предотвратить.

⚡️ Попробуйте решения F6 бесплатно в течение месяца — и убедитесь, как они работают на практике.

Перед Пасхой злоумышленники выпустили десяток яиц ботов для обмана в Telegram.
 
Ситуативное мошенничество продолжается. На этот раз для фишинга, угона аккаунтов и инвестскама начали использовать пасхальные мотивы — кстати, впервые за время наблюдения.

🔍 Аналитики F6 обнаружили не менее 11 Telegram-ботов под названием «Пасхальные яйца» или вариациями со словом «Пасха». В них пользователям предлагают праздничный подарок — Premium-подписку от Telegram или призы от Roblox или маркетплейса. Нужно указать возраст и подождать 48 часов, пока на связь выйдет «менеджер», который сообщит подробности, или «пасхальное яйцо» появится в игровом аккаунте. Обязательное условие участия — подписка на «каналы-спонсоры».

🎥 Все боты созданы недавно, в них вступило 120+ тыс. пользователей. Для рекламы злоумышленники публикуют видео в TikTok и запрещенной соцсети. Подробнее — на «Дзене».

😉 Борьба с киберпреступностью

Перед Пасхой злоумышленники выпустили десяток яиц ботов для обмана в Telegram.
 
Ситуативное мошенничество продолжается. На этот раз для фишинга, угона аккаунтов и инвестскама начали использовать пасхальные мотивы — кстати, впервые за время наблюдения.

🔍 Аналитики F6 обнаружили не менее 11 Telegram-ботов под названием «Пасхальные яйца» или вариациями со словом «Пасха». В них пользователям предлагают праздничный подарок — Premium-подписку от Telegram или призы от Roblox или маркетплейса. Нужно указать возраст и подождать 48 часов, пока на связь выйдет «менеджер», который сообщит подробности, или «пасхальное яйцо» появится в игровом аккаунте. Обязательное условие участия — подписка на «каналы-спонсоры».

🎥 Все боты созданы недавно, в них вступило 120+ тыс. пользователей. Для рекламы злоумышленники публикуют видео в TikTok и запрещенной соцсети

😉 Борьба с киберпреступностью

Аренда жилья и ваших данных: как работает мошенническая схема, связанная с престижными ЖК.

👀 Аналитики Digital Risk Protection зафиксировали новый сценарий обмана: преступники выступают в роли владельцев дорогих квартир. Они размещают посты с выгодными предложениями о сдаче квартиры в аренду в профильных Telegram-чатах и каналах, сообществах в соцсетях. В объявлениях — красивые фото из интернета и реальные адреса ЖК с закрытой охраняемой территорией в разных городах России. Стоимость аренды — на 20-40% ниже средней.

📍 Просмотр лже-собственник назначает на следующий же день. Когда человек подходит к ЖК, мошенник сообщает, что для прохода необходимо зарегистрироваться. Если потенциальная жертва соглашается, мошенник направляет фишинговую ссылку и код, который нужно указать при регистрации. Как работает схема для владельцев смартфонов на iOS и на Android — рассказали в релизе.

‼️ Сценарий действует почти два месяца — пострадали около 1100 человек, у них похитили минимум 11,7 млн рублей.

😉 Борьба с киберпреступностью

Потрачено 😧 «Моды» из Telegram для Minecraft и Roblox содержат ВПО, выяснили аналитики F6.
 
▪️ Атака направлена на устройства на базе Android. Боты предлагают пользователям скачать игровые моды и приложения. Для продвижения злоумышленники создают Telegram-каналы, посвященные Roblox, Minecraft, Brawl Stars, Subway Surfers, Standoff 2 и др.

Разбираем, как работает схема, на примере канала «Роблокс Моды» (245+ тыс. подписчиков) ⬇️

Игрокам предлагают скачать моды «полет», «высокий прыжок», «ходьба сквозь стены». Пройдя по ссылке, пользователь попадает в бот, где его просят подписаться на несколько Telegram-каналов, а потом — скачать apk-файл. В приложении по ссылке спрятано ВПО, в том числе Android-трояны, которые могут украсть данные аккаунтов, а также выполнять удаленные команды и менять настройки устройства.

❗️ За месяц вредоносный бот посетили 570+ тыс. пользователей. Специалисты Digital Risk Protection F6 направили заявку на его блокировку в техподдержку Telegram.

😉 Борьба с киберпреступностью

Графовый анализ лежит в основе Fraud Protection от F6. Объясняем, что это такое и зачем нужно.

👍 В чем польза графового анализа?
Традиционные системы защиты, основанные на правилах, ручных проверках и статической логике, теряют эффективность. Графовый анализ связей — это инструмент, выявляющий структуру мошенничества: взаимодействие между участниками операций, цифровыми следами, техническими параметрами и каналами. Он обеспечивает проактивную защиту: демонстрирует скрытые зависимости и прогнозирует действия атакующих.

🔍 Как он работает внутри Fraud Protection F6?
Граф строится не внутри одного заказчика, но и на основе Global ID — уникальной модели, объединяющей сигналы из разных систем и сегментов и формирующей единое пространство анализа. Кросс-отраслевой граф позволяет фиксировать активность мошенников, перемещающихся между сервисами и компаниями, и выявлять организованные схемы на ранней стадии.

Собрали 10 сценариев, в которых граф показывает результат, а другие системы не справляются.

Как устроен криминальный бизнес в даркнете?

😎 Теневой рынок — сложная и многоуровневая паутина, соединяющая между собой представителей совершенно разных киберпреступных группировок. Ориентироваться в андеграунде сложно, но для Лады Крюковой, руководителя отдела исследования и мониторинга андеграунда департамента Threat Intelligence F6, нет секретов и белых пятен.

➡️ Где находятся теневые рынки, какие направления доминируют в андеграунде и как противодействовать киберугрозам — читайте в интервью для Cyber Media.

Есть ли шанс избежать неприятностей, если ваши данные уже в руках мошенников? 👀

🤚 В запасе каждого всегда остается «золотой час» — если использовать его рационально, можно минимизировать последствия инцидента.

Вместе с руководителем департамента обучения F6 Светланой Буриковой мы подготовили серию коротких видеоинструкций: как действовать, если стали жертвой мошенников.

➡️ Первый ролик — гайд по неотложным действиям при компрометации банковской карты. Смотреть обязательно!

Специалисты F6 помогли отразить кибератаку на сеть фитнес-клубов.

Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness. Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных.

🔍 Аномальную активность на одном из серверов Alex Fitness зафиксировал модуль системы F6 MXDR. Первые действия по изоляции устройств и предотвращению развития атаки были предприняты уже через 20 минут после обнаружения вредоносной активности. А оперативный анализ действий злоумышленников позволил выявить и заблокировать инструменты атакующих, оборвав им доступ к инфраструктуре Alex Fitness.

🔍 Характер действий атакующих указывает на то, что за атакой могла стоять группировка Shadow.

➡️ Все детали анализа атаки, ее расследования и отражения — читайте в блоге F6.

‼️ Рекомендуем выделить на это особое время: букв в материале так же много, как и пользы от изучения.

Количество DDoS-атак на российские компании и государственные учреждения увеличивается каждый год. По данным экспертов компании F6, в 2024 году число DDoS-атак в целом увеличилось минимум на 50% — как по количеству, так и по числу задействованных в ботнетах устройств.

Какие регионы и отрасли чаще остальных подвергаются атакам? Как развитие искусственного интеллекта влияет на подходы к защите от DDoS-атак? Как компании подготовиться к внедрению инструментов для DDoS-защиты?

На эти и другие вопросы ответила Елена Шамшина, технический руководитель F6 Threat Intelligence. Читайте интервью в блоге ГК Softline.

#кибербезопасность #DDoS @f6_cybersecurity

Мошенники начали использовать цифровой рубль в инвестскаме.
 
▪️ В сети появились ресурсы, предлагающие участие в программе «Цифровой рубль Банка России» для пассивного заработка на финансовом рынке. Цифровой рубль — приманка для классической схемы инвестиционного мошенничества.

▪️Пользователи видят страницу с символикой цифрового рубля и чат-бот с «личным менеджером». Первые сообщения в чат-боте обещают «доход от 100 тыс. руб. с первых дней». Минимальная сумма инвестиций — 10 тыс.

▪️ Под предлогом расчета потенциального дохода и «удобной» суммы вклада требуется ответить на ряд вопросов, после чего на экран выводится сообщение: «Наши специалисты перезвонят вам в ближайшее время». Жертве звонит злоумышленник ака «персональный менеджер» и уговаривает внести «депозит». В результате — потеря денег.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Цифровой рубль — бренд, про который слышали многие, но не все понимают, что он из себя представляет и зачем нужен. Этим и пользуются мошенники.

Все обнаруженные специалистами F6 мошеннические сайты созданы недавно: первый домен зарегистрирован 18 марта, последний — 4 апреля.

😉 Борьба с киберпреступностью

👀 Представьте: в вашем доме открыты все двери, но вы не знаете, сколько их и где они находятся. Похожую ситуацию переживает бизнес, который не ведет учет цифровых активов и становится уязвим перед киберпреступниками.

Для тех, кто намерен эффективно противостоять кибератакам и действовать на опережение, мы выпустили бесплатный White Paper по Attack Surface Management. Пока компании не будут осознавать масштаб своих цифровых активов и уязвимостей, киберпреступники будут выигрывать.

▪️ Что вообще такое Attack Surface Management?
▪️ Какие проблемы актуальны для бизнеса разного масштаба?
▪️ Что будет, если не отслеживать поверхность атаки?

❗️ Все ответы в нашем бесплатном гайде

Качайте сами и пересылайте пост коллегам ❤️

Мошенники готовятся к лету, а ты нет

☀️ Специалисты Digital Risk Protection F6 обнаружили новую схему в преддверии майских праздников и сезона отпусков. Скамеры размещают в соцсетях видео с предложением выгодно снять квартиру или дом, а для бронирования присылают ссылку на фишинговый ресурс.

🎥 Механика обмана изменилась. Если раньше свои предложения по аренде жилья мошенники размещали на сайтах объявлений, то теперь они рекламируют их через короткие ролики в YouTube Shorts, TikTok и Instagram (принадлежит Meta, которая признана экстремистской и запрещена в РФ).

💲 Внимание мошенников обращено прежде всего на популярные курорты на Черноморском и Балтийском побережьях. По данным F6, размер ущерба уставших россиян, желающих поскорее отдохнуть, составляет от 1000 руб. до 140 тыс. руб.

Как выглядят ролики, что злоумышленники сообщают в переписке и как работает схема для iOS и Android — все детали собрали в релизе.

Новая неделя — новое интервью 🎙 На этот раз пообщались с Александром Соколовым, и это его первое интервью на посту директора единого сервисного блока F6.

😎 Когда-то компания была основана как бутиковое кибердетективное агентство для проведения компьютерной криминалистики и расследований. Но формально единого сервисного блока не существовало.

👀 Почему в компании решили изменить структуру? Какие ключевые задачи Александра по развитию направлений? В каких кризисных ситуациях спасут решения F6? Об этом и многом другом читайте в «РБК Компании».

Аналитики Threat Intelligence F6 фиксируют более чем двукратный рост числа выставленных на продажу веб-шеллов для доступа к ресурсам в зоне .by.

Веб-шелл — это вредоносный скрипт, который загружается на сервер через уязвимости в веб-приложениях, например, через форму загрузки файлов. Скрипт может быть написан на PHP, ASP, Python или Perl, он позволяет выполнять произвольные команды, манипулировать файловой системой, устанавливать дополнительное ВПО.


▪️Рост распространения веб-шеллов в белорусской доменной зоне может свидетельствовать о возрастающем интересе к эксплуатации уязвимостей приложений и недостатках в защите сайтов.

💲На теневых форумах и маркетплейсах даркнета цены на веб-шеллы достигают нескольких тысяч долларов. Стоимость определяется уровнем доступа, скрытностью, функциональными возможностями и ценностью информации, хранящейся на скомпрометированном сервере.

➡️ Описали ситуацию в деталях на Habr

⚡️ Команда F6 выпустила бесплатный White Paper — и это настоящий маст-хэв для всех, кто отвечает за онлайн-сервисы, безопасность и финансы.

Киберпреступления составляют 40% от всех зарегистрированных преступлений в стране. В 2024-м компании потеряли 116 млрд+ руб. из-за цифрового мошенничества.

‼️ Со стандартными средствами защиты — вроде капчи, двухфакторной аутентификации и черных списков — мошенники справляются с помощью анонимизации, антидетект-браузеров и эмуляторов.

Мы создали подробный гайд, который объясняет, почему традиционный подход больше не работает и как Fraud Protection F6 помогает защитить бизнес.

Вы узнаете:
💚 как устроены распространенные схемы фрода;
💚 какие проблемы актуальны для банков, финтеха, ритейла и страхования;
💚 как работают технологии защиты: цифровые отпечатки устройств, графовый анализ, поведенческая аналитика;
💚 реальные цифры по снижению потерь и сокращению нагрузки на команды.

Всё это абсолютно бесплатно ❤️ Пересылайте коллегам!

Скачать White Paper «Fraud Protection для бизнеса»

Одна из самых востребованных кибербез-дисцплин — в нашем новом курсе 😎 Анализ угроз, разбор реальных кейсов, изучение сервисов и инструментов, а также практическая часть с тестовой инфраструктурой — всё это обещаем на курсе «ASM в действии: автоматизированная защита внешних сервисов».

Когда: 23 апреля 2025 г.
Кто: Кирилл Федоренко, специалист по тестированию на проникновение F6.
Зачем: чтобы научиться выявлять уязвимости в публично доступных сервисах, понимать тактику атакующих и применять эффективные меры защиты, чтобы предотвратить кибератаки и минимизировать риски утечек данных.
Для кого: для ИБ-специалистов, аналитиков SOC и CERT, сисадминов и DevOps-инженеров, разработчиков, работающих с веб-приложениями и API — для всех, кто отвечает за защиту внешнего периметра компании.

💚 Детали о курсе и стоимость можно уточнить, написав нам на почту education@f6.ru, или заполнив форму на сайте.

Делитесь информацией о новом курсе с теми, кому он актуален ❤️

😎 Лонгрид недели!

Как работают компьютерные криминалисты — большой разговор с Антоном Величко.

🔥 Лаборатория цифровой криминалистики и исследования вредоносного кода — одно из старейших подразделений F6. Более 70 000 часов реагирований на инциденты по всему миру, свыше 3500 экспертиз и исследований — это всё про специалистов Лабы (так уважительно называют подразделение внутри компании).

🎙 Больше месяца мы ждали, когда в графике руководителя Лабы Антона Величко появится свободный час, чтобы он смог рассказать об особенностях национального кибербеза.

➡️ Читайте хайлайты в карточках, а полное интервью уже ждет вас на сайте.

RuStore начал использовать решение Digital Risk Protection от F6 для борьбы с цифровыми угрозами. Технология на базе ИИ позволит в автоматическом режиме блокировать фишинговые ресурсы и поддельные приложения, которые маскируются под легальный софт, но могут содержать вредоносное ПО.

Дмитрий Морев, директор по информационной безопасности RuStore:

За последний год существенно увеличилось количество фишинговых и фейковых ресурсов с опасными приложениями. Помимо традиционных опасностей, таких как кража средств и продажа личных данных, через мошеннические приложения телефон может быть подключен к сети ботов для DDoS-атак. При этом наша команда фиксирует снижение количества попыток загрузить поддельные приложения в RuStore.

Продолжаем защищать бизнес в эпоху изощренных кибератак 🔥

Кибершпионы FakeTicketer причастны к атаке на российские предприятия от имени «ВОЕНМЕХа»? Разбираемся.

▪️ Атаку с использованием вредоноса, мимикрирующего под официальный документ от университета «ВОЕНМЕХ», обнаружили в конце 2024-го и назвали Operation HollowQuill. Анализ ВПО и инфраструктуры злоумышленников кампании HollowQuill и у FakeTicketer позволил специалистам F6 обнаружить пересечения в коде дропперов и именовании доменов.

▪️ Злоумышленники действуют как минимум с июня 2024 года. Предположительная мотивация — шпионаж, среди целей — промышленные организации, госорганы, спортивные функционеры.

➡️ Детали описали на Habr

По мнению эĸспертов F6 Threat Intelligence, найденные доĸазательства позволяют со средней уверенностью приписать кампанию HollowQuill группе FakeTicketer.

😉 Борьба с киберпреступностью

CraxsRAT и NFCGate в одном флаконе: киберпреступники разработали новую связку для атак на клиентов банков.

И этот Франкенштейн потенциально прямо в вашем смартфоне 👀 Android-троян CraxsRAT и приложение NFCGate вместе позволяют злоумышленникам без единого звонка устанавливать на устройства вредоносный софт, способный через NFC-модули перехватывать и передавать данные карт. Увеличение доли скомпрометированных устройств именно этой атакующей связкой зафиксировало решение F6 Fraud Protection.

‼️Как работает связка CraxsRAT и NFCGate?
Для передачи преступникам контроля над смартфоном достаточно неосторожно установить приложение, замаскированное под полезную программу. Так злоумышленники получат полный доступ к банковским приложениям, возможность перехватывать уведомления и коды, обналичивать похищенные деньги. Основной вектор распространения CraxsRAT — социальная инженерия, но уже без телефонного разговора.

😧 По данным F6 на март 2025 года, в России суммарно насчитывалось 180 тыс.+ скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate. Новость тревожная, но не внезапная — эти инструменты, согласно отчету F6, входят в число самых опасных киберугроз на этот год.

🔍 В феврале 2025-го число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрем 2024-го, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 тыс. Сумма ущерба от атак с использованием NFCGate за первые два месяца 2025-го — 200 млн рублей. Число скомпрометированных Android-устройств с вредоносными версиями NFCGate по итогам февраля превысило 158 тыс. и продолжает расти.

➡️ Читайте все детали новой схемы и рекомендации от экспертов F6.

Хакеры нередко терпят неудачу, но иногда их провалы бывают настолько абсурдны, что сегодня — 1 апреля — мы решили посветить этому целый ролик.

Ставьте ❤️, если было интересно!

Большие деньги и гигабайты личных данных сделали ритейл одной из наиболее уязвимых отраслей для онлайн-мошенничества. Собрали самые популярные схемы в White Paper.

⤵️ Скачать White Paper

🐠 Фишинговые ресурсы — стилизованные поддельные сайты и электронные письма якобы от известных брендов. Количество фиш-ресурсов выросло на 33,7% год к году. Схемы разнообразны.

🛍 Мошенничество с промокодами и скидками. Скамеры создают фиш-сайты по продаже подарочных карт дешевле номинала, а также размещают ссылку на мошеннический Telegram-бот в описании аккаунтов с выгодными предложениями. Как работают сценарии — описали в White Paper.

🦣 Схема «Мамонт». Атака часто начинается на сайте объявлений. Мошенники предлагают купить товар и настаивают перейти в мессенджер. Туда присылают фиш для «получения оплаты». В White Paper рассказали, сколько еком-брендов используют в этой схеме.

🖨 Схемы с вакансиями. Жертве предлагают быстрый и легкий онлайн-заработок в крупной ритейл-компании. Цель — получение персональных данных или «комиссии» для вывода «заработной платы».

📲 Схемы с вредоносным ПО. Задача мошенника — заставить жертву скачать вирусное приложение, которое перехватывает СМС, что в совокупности с получением доступа к номеру карты, позволяет списывать денежные средства.

Все детали этих популярных схем в ритейле собрали в отдельный чек-лист для бизнеса.

⤵️ Скачать White Paper

Россияне и пираты обожают Роберта Паттинсона ❤️ «Микки 17» с его участием возглавил топ фильмов с наибольшим числом нелегальных копий в этом месяце.

В марте интересы зрителей совпали — рейтинг практически полностью состоит из боевиков и фантастики. Здесь и операция по захвату хакера (Рейс навылет»), и роботы («Электрический штат»), и «монструозные полые люди» («Ущелье»).

Вот как топ-10 выглядит полностью:

1️⃣ «Микки 17»
2️⃣ «Электрический штат»
3️⃣ «Капитан Америка: Новый мир»
4️⃣ «Бруталист»
5️⃣ «Контратака»
6️⃣ «Ущелье»
7️⃣ «Рейс навылет»
8️⃣ «Путь рыцаря»
9️⃣ «Компаньон»
1️⃣0️⃣ «Абсолютный хищник» (пробился в топ с рейтингом 4.7 😀)

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце.

😉 Борьба с киберпреступностью

Компании регулярно сталкиваются с накрутками кликов, парсингом данных и SMS-бомбингом. Для борьбы с этими угрозами на рынке уже есть ряд стандартных решений. А мы выпустили кое-что получше 😎

Согласно годовому отчету F6, риски, связанные с автоматизацией преступных действий и фальсификациями, увеличиваются. Решение Preventive Proxy помогает выявлять мошенничество на ранних стадиях.

💚 Почему наш подход эффективнее?
Многие решения используют устаревшие методы фильтрации, ориентируясь на статические признаки (например, IP-адрес или cookie). Бот-скрипты легко обходят такие механизмы, меняя IP или подделывая данные браузера.

В отличие от других антифрод-систем Fraud Protection F6 в рамках функционала Preventive Proxy предлагает:

▪️Глубокий поведенческий анализ. Отслеживание аномалий, даже если бот мимикрирует под реального человека.
▪️Прозрачность работы. При использовании аналогов причины блокировки часто остаются загадкой, у нас же всегда можно понять, почему запрос был отклонен.
▪️Гибкость и удобство. Интуитивно понятный интерфейс с легкой настройкой фильтров под бизнес-задачи.
▪️Продвинутая защита. Решения, которые полагаются на куки и капчи, злоумышленники успешно обходят. F6 использует более сложную и устойчивую систему анализа.
▪️Минимизацию ложных срабатываний. Реальные пользователи не сталкиваются с лишними проверками.

Автоматизированные угрозы могут серьезно ударить по вашей прибыли. Решение Preventive Proxy закрывает ключевые уязвимости с помощью умных, гибких и прозрачных механизмов — и работает на опережение.

➡️ Узнать о Preventive Proxy больше

⚡️ Как неофициальные студии озвучки заработали 94+ млн рублей — исследование F6.

Мы изучили данные по 48 наиболее крупным студиям за 2024 год. По минимальным подсчетам их доход превысил 94 млн руб. — рост в полтора раза год к году. Вдвое увеличился доход от рекламных вставок и сборов на озвучку мировых релизов, потому что многие из них не были официально представлены в России.

Основных способов заработка четыре:

1️⃣Спонсорская подписка. Самый прибыльный способ монетизации — 45,4% от общего дохода. В 2024 году количество платных подписчиков увеличилось почти в два раза.

2️⃣Рекламные вставки и сборы на озвучку. Принесли 32,2% от выручки. Вставки могли быть в аудио- и видеоформатах. Сборы на озвучку принимались через сервисы платных подписок или по реквизитам.

3️⃣Реклама на собственных сайтах студий и в плеерах. Составила 15,4% от всех поступлений. Доля прибыли уменьшается, так как пользователи чаще смотрят контент в соцсетях и на видеохостингах. Не теряют популярности и торренты.

4️⃣Донаты. Они составили 7% от суммы дохода, доля снизилась в том числе из-за распространения платных подписок.

Топ-направления видеоконтента по доходам от озвучки:

▪️Мировые релизы фильмов и сериалов без привязки к стране и жанру — 40,8%.
▪️Дорамы — 37,1%.
▪️Аниме — 13,7%.
▪️Турецкие сериалы — 8,4%

Подробности — в релизе.

P.S. Digital Risk Protection F6 готовит к публикации масштабное исследование структуры онлайн-пиратства в России, в котором представит актуальную картину его устройства и разоблачит теневых игроков индустрии. Уже этой весной 😎

Аферист из Tinder — киберпреступная версия 😎 Аналитики Digital Risk Protection F6 зафиксировали новый сценарий обмана со знакомствами. Злоумышленники нацелены на девушек, приманка — бесплатное посещение салона красоты.

Как работает схема?

1️⃣Скамеры изображают успешных мужчин 30–35 лет в сервисах для знакомств. На аватарках — реальные чужие фотографии, например, из деловых журналов. В переписке мошенник создает впечатление состоятельного и серьезного человека, который легко идет на контакт. Он сообщает, что владеет сетью салонов красоты и хочет подарить девушке бесплатное посещение с услугами премиум-класса.

2️⃣Получив согласие жертвы, скамер отправляет ссылку на сайт фейкового салона для бронирования, а также «персональный промокод». Название студии и оформление сайта копирует интернет-ресурс реального салона красоты в Москве. Девушка заполняет форму, указывает промокод, имя и номер телефона.

3️⃣Пользовательницам Android предлагается для подтверждения записи скачать «фирменное» приложение — ВПО, способное удаленно управлять устройством: перехватывать данные карты, СМС от банков и пр., списать со счета все деньги. Обладательницам iPhone предлагают подтвердить запись через Apple ID. Когда девушка вводит код двухфакторной аутентификации, контроль над устройством перехватывают злоумышленники.

❗️ Не доверяйте никому в интернете и не переходите по ссылкам от незнакомцев (либо проверяйте их через whois-сервисы). А если вы действительно познакомились с владельцем салона-красоты, он наверняка сможет записать вас на свое имя 💅

😉 Борьба с киберпреступностью

Наш слоняра: образ Юры Борисова начали использовать мошенники.
 
Аналитики F6 впервые зафиксировали использование образа этого актера в рекламе мошеннических игр, которые обещают легкий заработок.

Схема 1️⃣— игра MeowCraft

Под кричащим заголовком «Юра Борисов не получил Оскар и теперь уйдет из кино?» мошенники сообщают о новой деятельности актера — он якобы стал «амбассадором экономической игры MeowCraft». Пользователей завлекают промокодом на 5000₽, которые можно «сразу вывести на карту». В комментариях размещена ссылка на Telegram-бот мошеннической игры MeowCraft. Эта схема — разновидность инвестскама, а игра — симулятор, в котором котики строят виртуальные здания, а пользователю надо собирать ресурсы и зарабатывать внутреннююю валюту. Вывести ничего не удастся.

Также в рекламе MeowCraft используются образы Никиты Кологривого, Анны Хилькевич, Карины Кросс и др. Более 20% объявлений посвящены Юре Борисову. Часть постов уже удалена, но более 50 публикаций с упоминанием 32 знаменитостей остались.

Схема 2️⃣— «Наш слон»

Параллельно расходится реклама мошеннического кликера «Наш слон». Текст и оформление рекламы почти полностью копируют посты про MeowCraft. Предполагается, у проектов один организатор.

«Наш слон» — тоже Telegram-бот, в котором пользователям предлагается «тапать» слона и получать за это «слонкоины». При попытке вывода средств пользователь сталкивается с классическими сценариями инвестскама: сообщение об ошибке из-за недостаточного баланса, предложение приобрести «недостающую» криптовалюту TON в виртуальном обменнике.

По данным F6, только за 24 марта было опубликовано 100+ постов с рекламой скам-игры «Наш слон». Злоумышленники использовали образы Ольги Бузовой, Бьянки и др.

Впервые использование образов российских актеров в скам-схемах зафиксировали на прошлой неделе — тогда речь шла о мошеннических розыгрышах и лотереях.

😉 Борьба с киберпреступностью

F6 стали участниками лучшего документального сериала? Пока не точно, но посыл в космос отправляем всей командой 🏆

⭐️ Сериал «Вас беспокоят из банка» вошел в шорт-лист XII Премии АПКиТ (Ассоциации продюсеров кино и телевидения). Проект вышел в феврале 2024-го на PREMIER — он рассказывает о масштабах и хитростях телефонного мошенничества в России. Команда F6 активно сотрудничала с создателями, предоставляя контент и экспертные комментарии.

⭐️ В сериале психологи объясняют, как жуликам удается «зомбировать» жертву. Получилось даже поговорить с мошенником, который сейчас отбывает наказание за преступления.

Держим кулачки! Обладатели престижной премии будут объявлены 13 мая. А если еще не смотрели сериал — вы знаете, что делать.

😉 Борьба с киберпреступностью

Угроза не пройдет. Публикуем гайд по Attack Surface Management — сохраняйте!

Часто компании не осознают степень риска при наличии неучтенных публичных активов, но каждый из них — потенциальная точка входа злоумышленников. Attack Surface Management (ASM) — это систематический подход к управлению всеми этими «точками».

Неконтролируемая поверхность атак может привести к:
〰️утечкам и финансовым потерям;
〰️эксплуатации уязвимостей DNS и доменов;
〰️заражению ВПО и угрозам для электронной почты.

Усложненные инфраструктуры и широкое использование облачных решений делают компании более уязвимыми. И вот какие преимущества ASM для бизнеса мы выделяем.

💚 Прозрачность и контроль. Решение обеспечивает ясную картину инфраструктуры и ее текущего состояния, что критически важно для проактивной защиты.
💚 Экономия времени и ресурсов. Автоматизация анализа поверхности атак и устранения уязвимостей позволяет сократить трудозатраты сотрудников ИБ.
💚 Улучшение кибербезопасности. Регулярное сканирование и мониторинг снижают вероятность, что уязвимости останутся незащищенными.
💚 Снижение бизнес-рисков. Эффективное управление внешней инфраструктурой помогает минимизировать финансовые и репутационные потери, связанные с кибератаками.

Attack Surface Management предлагает комплексное управление, включая следующие функции:

⚙️ сканирование сети и доменов и идентификация уязвимостей;
⚙️ мониторинг рисков в реальном времени и их оценка;
⚙️ автоматизация процессов;
⚙️ интеграция с ИБ-командами.

Контроль поверхности атак становится обязательной практикой для современных компаний. Attack Surface Management — это не только инструмент для защиты внешней инфраструктуры, но и способ повысить общую устойчивость бизнеса к киберугрозам и защитить все активы.

Мошенники начали использовать образы актеров театра и кино в скам-схемах.

Сам по себе сценарий не нов. Но раньше злоумышленники использовали фото певцов или блогеров. Сейчас же впервые аналитики F6 зафиксировали схему с неправомерным использованием образов популярных актеров.

Рекламу со знаменитостью мошенники публикуют в интернете — продвигают розыгрыши или лотереи. Переходя по ссылке, жертва попадает на ресурс, где ей предлагают открывать коробочки с призами. Обычно первые две попытки безуспешны, а на третий раз выпадает денежный выигрыш в валюте. Вот что происходит дальше.

〰️Чтобы получить деньги, жертва должна ввести данные карты.
〰️Сайт выдает ошибку отправки, объясняя это необходимостью конвертации валюты, которая обойдется в определенную сумму.
〰️Каждый раз у жертвы запрашивают новые платежи для совершения операций, сумма оплаты растет.
〰️В итоге жертва лишается переведенных денег, а данные карты оказываются скомпрометированы.

Популярность схем с розыгрышами от имени известных людей падает, и их организаторы ищут новые лица, пытаясь расширить число жертв за счет старшего поколения.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Злоумышленники рассчитывают, что взрослая аудитория доверится знакомым образам из кинофильмов и телесериалов. По нашим наблюдениям, эта ставка пока не срабатывает. Одна из возможных причин — зрители фильмов и сериалов с участием популярных актеров чаще слышат предупреждения о мошенничестве и критично относятся к подобным «розыгрышам».

Подобные лотереи с коробочками с призом принесли мошенникам за 2023–2024 гг. более 81 млн рублей — это данные только по одной изученной специалистами F6 партнерской программе. За прошлую неделю у россиян похитили 1 млн руб., используя образы артистов и блогеров.

Не успели посмотреть недавние эфиры AM Live с участием экспертов F6 — наша антология в помощь. Главные тезисы.

🟣 Если в компании нет своего SOC, то можно считать, что у нее нет группы реагирования. Айтишники просто помогают собрать данные по указанию ИБ-специалистов — у них другие функции, они должны заниматься своей деятельностью, считает Александр Симонян, руководитель департамента технологического сопровождения проектов F6. Компаниям, которые планируют строить SOC, стоит рассмотреть разные варианты, чтобы понять, в какую сторону двигаться. ‎Каждый из подходов, базирующихся на использовании SIEM, SOAR или XDR, имеет свои плюсы и минусы, отмечает Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз F6.

🟣 Тенденция — увеличение числа инцидентов. В последнее время больше атак на бизнес исходят от политически мотивированных группировок. Их цель — разрушение и уничтожение инфраструктуры, максимально деструктивные действия. Если расшифровать данные не удастся, компания окажется в безвыходном положении. Всегда нужно держать наготове профессионалов по реагированию на инциденты ИБ, так как поиск профильного вендора в момент инцидента займет время, что является критичным фактором.

🟣 Нужно видеть и анализировать весь ландшафт угроз, не ограничиваясь «своей» отраслью, считает Евгений Чунихин, бизнес-руководитель направления киберразведки F6. Границы классификации киберпреступных группировок размываются, цели злоумышленников могут меняться. Начать стоит с оценки поверхности атаки (Attack Surface Management), затем можно перейти к отчетам и индикаторам, далее — заняться более серьезным вооружением TI. Спрос на TI будет расти, в том числе из-за ужесточения требований регулятора.

😉 Борьба с киберпреступностью

Детский фрод — почему из-за него страдает бизнес и как предупредить эти угрозы. Объясняем на примерах.

Ситуация 1️⃣
Ребенок под влиянием мошенника совершает платеж без ведома родителей. Да, взрослые могут оспорить транзакцию, но даже при добровольной оплате это создает нагрузку на операционные отделы.

Что это значит для бизнеса:
〰️Рост количества возвратов и нагрузки на процессинг.
〰️Репутационные и финансовые издержки.

Ситуация 2️⃣
Дети часто сидят на игровых платформах. Через фальшивые сайты, приложения и бонусы мошенники выманивают данные или получают доступ к аккаунтам.

Что это значит для бизнеса:
〰️Увеличение числа возвратов.
〰️Снижение надежности платежной инфраструктуры.
〰️Нарушение пользовательского опыта.

Ситуация 3️⃣
Ребенок может передать доступ к аккаунту или даже стать дропом.

Что это значит для бизнеса:
〰️Нарушение требований KYC и AML.
〰️Угроза попадания в поле зрения регуляторов.
〰️Нагрузка для антифрод-отделов.

Ситуация 4️⃣
Данные несовершеннолетних используют в регистрационных и кредитных схемах.

Что это значит для бизнеса:
〰️Регистрация фрод-клиентов.
〰️Увеличение доли ошибочных заявок.
〰️Сложности с идентификацией и риски потерь.

❓👀 Как защититься:
F6 Fraud Protection анализирует поведение, устройство и цифровую среду, выявляя операции, не характерные для взрослого пользователя. Это снижает число возвратов и спорных транзакций.

Решение также профилирует пользователя по цифровому отпечатку и поведенческой модели, позволяя исключить фейковые регистрации и недостоверные заявки. Также оно выявляет мультиаккаунтинг и нетипичную активность, а фишинг и вредоносные сценарии фиксируются до момента транзакции.

➡️ Получите 1 месяц бесплатного доступа и начните тестирование F6 Fraud Protection, не дожидаясь инцидента.

Sticky Werewolf: новая атака на производителя нефтегазового оборудования.

Система F6 Managed XDR заблокировала очередную рассылку, проводимую в рамках продолжающейся кампании группы Sticky Werewolf.

Sticky Werewolf — проукраинская кибершпионская группа, атакующая российские госучреждения и промышленные предприятия.

▪️ Во вложении к письму, адресованному производителю нефтегазового оборудования, находился защищенный паролем 7z-архив с именем «Исходящий от 17.03.2025.7z».

▪️ В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга. В результате выполнения классической для группировки цепочки атаки — дроппер установщик NSIS ➡️ BAT ➡️ AutoIt script ➡️ RegAsm (QuasarRAT) — создается процесс RegAsm.exe, в который внедряется QuasarRAT.

▪️ В конфигурации нагрузки указаны следующие C2 адреса: thelightpower[.]info:4782, crostech[.]ru:4782.

Отметим, что домен crostech[.]ru используется группой как C2 для QuasarRAT с октября 2024 года, второй домен (thelightpower[.]info) был зарегистрирован в декабре 2024-го, а самые ранние из известных атак с его использованием датируются мартом 2025-го.

😉 Борьба с киберпреступностью

❗️ Число атак IT Army of Ukraine на российские регионы за год снова выросло. Причины — слабый уровень защиты ресурсов и высокий PR-потенциал.

По данным экспертов департамента киберразведки F6, в 2024 году количество DDoS-атак в целом увеличилось минимум на 50% — как по количеству, так и по числу задействованных в ботнетах устройств.

Лидер по атакам — группировка IT Army of Ukraine. Она активизировалась еще в феврале 2022-го, и с тех пор не сбавляет обороты. Тренд последнего года — расширение географии их атак. С весны 2024-го F6 фиксирует рост количества атак на региональные телеком-операторы. От киберпреступлений особенно страдают приграничные области — Курская и Белгородская.

Елена Шамшина, технический руководитель департамента Threat Intelligence F6:

С одной стороны, причина в том, что региональные компании сравнительно просто атаковать — многие до начала СВО не задумывались о серьезной киберзащите.

С другой стороны, речь про PR-эффект: инциденты, когда большое количество жителей региона остаются без интернета, привлекают больше внимания, и злоумышленники пишут о том, какую мощную атаку они провели.

Вот какие данные за 2024 год предоставили поставщики решений по защите от DDoS:

▪️ 72+ часа длилась самая продолжительная из отраженных DDoS-атак.
▪️ Максимальные мощности зафиксированных атак были в сегментах онлайн-букмекеров (446 Гбит/c), банков (316 Гбит/c), хостинговых платформ (313 Гбит/c), платежных систем (300 Гбит/c)
▪️ На 53% увеличилось число атак год к году.

👀 По прогнозам — геополитическое киберпротивостояние продолжится, мощности проводимых атак будут увеличиваться. Под угрозой — ресурсы всех отраслей экономики.

😉 Борьба с киберпреступностью

Даже один инцидент — например, скам-ресурсы с использованием интеллектуальной собственности или распространение фишинговых ссылок от лица бренда, — могут стоить репутации, денег и доверия клиентов. Рассказываем, как защититься от цифровых угроз с помощью нашего «щита» — решения Digital Risk Protection.

Что это такое?
DRP выявляет, предотвращает и реагирует на нарушения, связанные с цифровыми активами компании. Решение помогает организациям защищаться от цифровых угроз — онлайн-мошенничества, фишинга, пиратского контента и неправомерного использования товарного знака. Оно работает как персональный «щит».

Почему использовать DRP действительно важно?
1️⃣Угрозы эволюционируют. Мошенники становятся изощреннее, используя все каналы взаимодействия с пользователем: соцсети, мессенджеры, приложения и др.

2️⃣Время на реакцию критично. Чем дольше вы не замечаете угрозу, тем больший урон она наносит. DRP работает проактивно, анализируя онлайн-пространство в режиме реального времени.

3️⃣Защита бренда. Огромное количество цифровых угроз негативно влияет на репутацию, а это актив, который сложно восстановить после повреждения. Игнорирование угроз приводит к непоправимым последствиям — киберпреступления от имени бренда или утечка данных серьезно подорвут доверие клиентов.

❗️ Digital Risk Protection предоставляет инструменты для мониторинга и предотвращения киберугроз. Это позволяет компаниям не только сохранить трафик и доходы, но и избежать репутационных потерь и издержек, связанных с юридическими разбирательствами. Инвестируя в такие технологии, компании укрепляют позиции на рынке, демонстрируя заботу о клиентах и их данных.

➡️ ПОЛУЧИТЬ БЕСПЛАТНЫЙ ПИЛОТ

👀 Секретное оружие от F6! Оно способно изменить ход криминалистического расследования или реагирования на инцидент — мы про анализ вредоносного кода. С ним и с реагированием на инциденты в ИБ в целом будем разбираться на практических курсах в апреле.

Вносите в план ⬇️

Реагирование на инциденты ИБ

Когда: 9–11 апреля.
Зачем: чтобы эффективно реагировать на выявленный инцидент и ликвидировать его последствия.
Для кого: для энтузиастов в области реагирования на инциденты, ИБ-специалистов, сотрудников SOC/CERT.
Ключевые темы:
〰️Cyber kill-chain и модели MITRE ATT&CK.
〰️Процесс реагирования на инцидент.
〰️Важнейшие источники доказательств.
〰️Методы сбора данных.
〰️Артефакты Windows и Linux для реагирования на инциденты.

Анализ вредоносного ПО

Когда: 15 апреля – 13 мая.
Зачем: чтобы анализировать ВПО, обнаруженное в ходе реагирования на инциденты или криминалистического анализа зараженных объектов.
Для кого: для специалистов по реагированию на инциденты ИБ, специалистов по компьютерной криминалистике, аналитиков SOC/CERT.
Ключевые темы:
〰️Теория анализа вредоносного кода.
〰️PE-формат исполняемых файлов и Windows API.
〰️Язык ассемблера для анализа ВПО.
〰️Чтение исполняемого кода и WinAPI.
〰️Введение в статический и динамический анализ.
〰️Анализ вредоносного кода с помощью песочниц.
〰️Обезвреживание вредоносного кода на виртуальных машинах.
〰️Реверс-инжиниринг.
〰️Работа с IDA Pro.

🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте education@f6.ru.

Делитесь информацией с теми, кому актуально ❤️

Фейк-вакансии + угон Tg-аккаунта + фейк-опрос с трояном = новая комбо-схема мошенничества. Под угрозой — ищущие работу россияне и их контакты.

Вот какую комбинацию инструментов злоумышленники собрали на этот раз.

Этап 1️⃣
Мошенники размещают на популярных площадках объявления о поиске сотрудников с высокой зарплатой, должность — от курьера до топ-менеджера. Соискателю присылают ссылку для заполнения резюме. Чтобы его отправить, нужно авторизоваться в Telegram. Когда пользователь укажет номер телефона и отправит код подтверждения, злоумышленники получат доступ к аккаунту.

Этап 2️⃣
Сразу после угона полный список контактов жертвы получает сообщение от имени «Единой России» с предложением за 5000 руб. пройти опрос. Такой заход зафиксирован впервые.

Этап 3️⃣
Для прохождения фейк-опроса нужно скачать фейк-приложение — с Android-трояном.

‼️С 20 февраля по 15 марта от этой комбо-схемы пострадали 770 пользователей — у них похитили почти ₽6 млн.

‼️Специалисты F6 направили на блокировку данные веб-ресурсов, которые используют мошенники, и предупредили представителей партии об угрозе. Сейчас ресурсы заблокированы.

😉 Борьба с киберпреступностью

❗️ Telemancon: новая APT-группировка, которая атакует промышленные организации.

В феврале 2025 года специалисты F6 обнаружили ранее неизвестную прогосударственную группировку, которой присвоили имя Telemancon. Самая ранняя активность группы датируется февралем 2023 года.

Telemancon атаковала российские организации в сфере промышленности, в частности — машиностроение. Группа использует самописный дроппер и бэкдор — TMCDropper и TMCShell.

➡️ Если вам интересно, почему для Telemancon выбрали такое название — рассказываем. Оно родилось из уникальных черт группировки:

▪️ «tele» — используемое ВПО TMCShell подключается к сервису telegra[.]ph для получения адресов C2;
▪️«man» — от «manufactory», учитывая нацеленность группы на промышленность;
▪️«con» — поскольку нагрузка во всех раскрытых на текущий день атаках сохраняется в папку %userprofile%\Contacts\.

Подробности — в новом блоге F6

😉 Борьба с киберпреступностью

Более 5️⃣0️⃣0️⃣ атак с использованием шифровальщиков зафиксировали специалисты F6 по итогам 2024-го. Рост почти в полтора раза год к году, а прогнозы неутешительные.

Чтобы каждый мог узнать больше о реагировании на атаки шифровальщиков и защитить свой бизнес, мы запустили новый курс-интенсив «Исследование атак шифровальщиков».

❗️Запись уже открыта!

Когда: 25—27 марта 2025 г.
Кто: Михаил Николаев, старший тренер по компьютерной криминалистике.
Зачем: чтобы использовать методы криминалистики хоста для реагирования на атаки, определять тактики, техники и процедуры (TTP), используемые атакующими, осуществлять меры противодействия атакам операторов-шифровальщиков.
Для кого: ИБ-специалисты, технические специалисты с опытом в ИБ, специалисты по реагированию на инциденты.

Делитесь информацией о новом курсе с теми, кому он актуален ❤️

📢 Как работает киберразведка и киберразведчики? Встречайте новый подкаст F6 «Шестой отдел» о реальной борьбе с киберпреступностью.

Несмотря на то, что у компании совсем свежий бренд, наша команда уже более 20 лет расследует и исследует компьютерную преступность. Всё самое интересное расскажем в новом подкасте 🎙

На съемки первого выпуска ведущий Евгений Чунихин пригласил авторов годового отчета F6 «Киберпреступность в России и СНГ» — Елену Шамшину, руководителя департамента Threat Intelligence, и Алену Шандер, ведущего аналитика отдела исследования сложных угроз Threat Intelligence.

Хайлайты выпуска:

▪️ Как работает киберразведка и киберразведчики?
▪️ Чего стоит бояться российскому бизнесу и пользователям?
▪️ Как киберразведчики внедряются в преступные группы?
▪️ На чем могут посыпаться хакеры?
▪️ Какие инструменты помогают отслеживать активность преступных групп?

Отличный вариант для просмотра сегодня вечером 😎

➡️ СМОТРЕТЬ НА RUTUBE
➡️ СМОТРЕТЬ В VK ВИДЕО

Скамеры заработали 10 млн руб. на фейк-свиданиях в минувшие праздники.

❤️ Мошенники под видом привлекательной девушки знакомились с жертвой в соцсетях, на сайтах знакомств или чат-ботах в Telegram. В переписке предлагали сходить в в кино, театр или на стендап, а для покупки билетов отправляли ссылку на фишинговый сайт или на скачивание вредоносного приложения.

❤️ За 14 февраля, 23 февраля и 8 марта злоумышленники заработали 9,8 млн руб. — это вдвое больше, чем год назад. Самым прибыльным праздником стал День всех влюбленных — он принес мошенникам 4 млн руб.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Мы видим тренд на снижение числа мошеннических групп, использующих схему с фейковыми свиданиями. Мы зафиксировали активность четырех группировок, год назад их было пять, два года назад — семь. Несмотря на это доходы мошенников по схеме Fake Date растут — организаторам удается привлекать все больше участников, от которых мошенничество не требует больших знаний и технических навыков.

😉 Борьба с киберпреступностью

ВПО PhotoAndroidMalware: где распространяется и как работает.

Один из трендов киберпреступности в 2024-м — всплеск атак на пользователей Android. Их объединяет маскировка ВПО под легитимные приложения. Одно из таких ВПО типа RAT — PhotoAndroidMalware, появившееся в 2024 году.

▪️ Задача PhotoAndroidMalware — украсть данные и получить возможность обрабатывать SMS, уведомления, а также выполнять денежные переводы.

▪️ Массовое распространение происходит в Telegram под видом фотографий.

▪️ Функциональные возможности ВПО:
— эксфильтрация SMS;
— эксфильтрация и сокрытие push-уведомлений;
— отправка SMS (может также использоваться для выполнения команд на номер 900);
— эксфильтрация информации об устройстве (номера телефонов, модель сборки, SDK устройства);
— отображение произвольных URL-ссылок через WebView.

▪️ Преступников, использующих PhotoAndroidMalware, интересуют следующие данные:

— SMS с номеров ведущих банков;
— PIN-код от DC Wallet;
— Koronapay-переводы;
— подтверждение платежей в случае, если SMS было отправлено с номера нескольких мобильных операторов.

⤵️ Больше о киберпреступлениях и киберугрозах — читайте в нашем отчете.

Митап откроет постоянный резидент CyberCamp, автор заданий и просто наш кент друг Влад Азерский из F6 🤝

При расследовании инцидентов ИБ критически важно понимать, где искать необходимые данные и как верно их интерпретировать. Поэтому в качестве ключевого инструмента для расследования выступает цифровая криминалистика — она помогает специалисту восстановить хронологию действий злоумышленника в исследуемых системах.

В своем докладе Влад проведет реконструкцию инцидента ИБ, в котором были затронуты различные системы: от привычной всем ОС Windows до сторонних веб-систем с их невиданными журналами.

А все зарегистрированные участники киберучений попытаются самостоятельно разобраться в этом инциденте ИБ уже завтра, когда откроется первое задание. Будет сложно, но интересно 😈

Другие выступления Влада на CyberCamp:
⏩ про форензику оперативной памяти
⏩про использование RDP злоумышленниками и Red Team

Телеграм-канал Влада про DFIR:
⏩Garden Detective

Обсудить митап 14 марта и задать вопросы спикеру:
⏩чат комьюнити CyberCamp 👨‍💻

Аудиодипфейки знаменитостей озолотили мошенников. За неделю подписчики потеряли 5,8 млн руб., якобы участвуя в конкурсе от звезды.

В запрещенной соцсети с картинками началась новая волна угона аккаунтов. Ее особенности — вымогательство денег за выкуп странички и использование дипфейка со звездой.

Кейс 1️⃣
8 марта от лица певицы Ханны мошенники опубликовали пост с анонсом конкурса, в котором «повезет всем». Подписчиков заманивали на сайт, предполагающий многоступенчатый сценарий предлогов к переводу денег. Сначала для якобы получения выигрыша необходимо заплатить пошлину — 9360 руб. После этого возникают новые предлоги — пошлина за обработку электронного заявления, комиссия за быстрый перевод и др.

Певица сообщила, что мошенники просят выкуп — $50 тыс., а также угрожают взломать ее канал в Telegram и страницу ВКонтакте.

Кейс 2️⃣
Сегодня, 12 марта, в аккаунте Дмитрия Журавлева появилось видео с закадровым голосом шоумена. Он объявляет о запуске нового проекта и приглашает подписчиков участвовать. Голос практически не отличим от реального, что сделало информацию в ролике достоверной в глазах пользователей.

〰️Эксперты 🙃 изучили мошеннические ссылки и выяснили, что их используют сразу в нескольких партнерских программах. С 6 по 12 марта через эти ресурсы мошенники похитили 5 млн 871 тыс. руб. (1608 платежей).

〰️Только сегодня, 12 марта, по данным на 17:00, злоумышленники похитили более 540 тыс. рублей (600+ платежей).

Евгений Егоров, ведущий аналитик Digital Risk Protection F6:

Медийные личности для киберпреступников — очень привлекательный вектор атак: через их аккаунты охват распространяемых мошеннических ссылок куда больше. Злоумышленники все чаще используют аудио- и видеодипфейки, поэтому стоит критически относиться к информации, которую вы получаете даже от знакомых людей. Современные инструменты подделки голоса достаточно хороши, отличить дипфейк от оригинала на слух — трудная задача.

😉 Борьба с киберпреступностью

😧 Персидские вымогатели атакуют! Публикуем экспертное исследование о новом кибермонстре с Востока.

Многие программы-вымогатели изначально были связаны с носителями персидского языка, отсюда и название — персидские шифровальщики. Их авторы, как на восточном базаре, стараются удивить всех своими уникальными творениями.

‼️В середине февраля была выявлена первая персидская программа-вымогатель PE32, разработанная на языке программирования Rust с использованием стандарта постквантовой криптографии. В ней реализована одна из самых сложных схем шифрования.

❗️Экспертов F6 беспокоит увеличение числа восточных группировок и их качественный рост. В новом исследовании Андрей Жданов, главный специалист по анализу вредоносного кода и проактивному поиску угроз, рассказал про восточные группировки вымогателей, связи между ними, а также поделился результатами разбора новой программы-шифровальщика PE32.

ЧИТАТЬ ИССЛЕДОВАНИЕ В БЛОГЕ 😉

👀 Любопытное совпадение: 8 марта, за пару дней до мощной DDoS-атаки на платформу X (бывший Twitter) и заявлений Илона Маска о причастности к ней Украины, внезапно обнулился телеграм-канал украинских хактивистов — Cybersec’s.

Напомним, Cybersec’s — хактивистская группа, атакующая российские компании и организации с целью саботажа и диверсий. Основатель группировки — злоумышленник под псевдонимом BadB, в прошлом — один из создателей известной кардинговой площадки CarderPlanet.

▪️ Группа проводит DDoS-атаки, компрометацию инфраструктуры, публикацию скомпрометированных данных, атаки через подрядчиков. Для DDoS-атак группировка использует собственный инструмент — «Gorgon stress», который до сих пор доступен для скачивания на сайте группировки в Tor.

▪️ С конца 2024 года злоумышленники также совершают атаки с использованием шифровальщиков. Аналитики F6 отмечали вероятную связь атакующего с группировкой двойного назначения Shadow с 2023 года: некоторые из компаний были зашифрованы этой группой, а скомпрометированные данные впоследствии опубликованы в источниках, связанных с Cybersec’s.

▪️ Группировка CyberSec’s также активно занималась саботажем. Излюбленная тактика атакующих — публикация скомпрометированных данных атакованных компаний и призывы использовать эти данные для совершения дальнейших атак через подрядчиков.

Подробнее про CyberSec’s — в отчете F6 «Киберугрозы в России и СНГ».

В темной-темной квартире темной-темной ночью ребенок подходит к спящему родителю и… прикладывает его палец к телефону, позволяя мошенникам украсить все деньги.

Это не ночной кошмар, это реальность — и новая схема телефонного мошенничества.

▪️Злоумышленники задействуют детей для кражи денег со счетов родителей, выяснили специалисты F6. В феврале 2025-го аналитики зафиксировали около 600 таких случаев — в пять раз больше, чем в декабре 2024-го. Средняя сумма ущерба от подобных преступлений — 80 тыс. рублей.

Как всё происходит?
Чаще всего мошенники знакомятся с детьми в игровых чатах на платформах Minecraft и Roblox. Чтобы заставить ребенка пойти на контакт, преступники могут запугивать его и шантажировать. Излюбленная уловка — убедить, что родителям грозит обвинение в пособничестве террористам, а единственный способ их спасти — выполнить определённые инструкции.

Финальный аккорд происходит ночью: мошенники звонят детям от лица службы доставки или под другим предлогом с просьбой назвать код. Если для входа в приложение банка нужны биометрические данные — мошенники просят приложить палец спящего родителя. Во всех случаях мошенники под разными предлогами уговаривают детей молчать и ничего не сообщать маме или папе.

Все детали этой схемы описали в релизе.

Есть план, и мы его придерживаемся 😎 Эксперт F6 обсудит с коллегами план реагирования на инциденты в эфире AM Live.

Завтра, 12 марта, Александр Симонян, руководитель департамента технологического сопровождения проектов F6, примет участие в дискуссии «Реагирование на инциденты в информационной безопасности: процессы и люди».

Из чего состоит процесс реагирования, как подготовить к нему сотрудников и что ни в коем случае нельзя делать при наступлении инцидента — об этом и многом другом в эфире AM Live завтра в 11:00. Stay tuned!

🔊 Зарегистрироваться и смотреть эфир

📢 Ищешь вещь. Уверен, что она лежит где-то рядом, но обнаруживаешь ее совсем в другом месте. Знакомо? Нам в кибербезе тоже!

Андрей Кравцов, специалист по реагированию на инциденты и цифровой криминалистике компании F6, рассказал о поиске временных меток в файле с расширением DOCX и поделился способом решения подобной задачи на примере воссозданной ситуации в виртуальной машине.

👀 Дано: в ходе ревизии финансово-экономической деятельности компании обнаружили несоответствие в документации сотрудника. Должностная инструкция существовала в двух версиях, одна из них — с незаконными положениями. Требовалось установить дату и время последнего изменения файла и даты последней печати.

🔍 Ход расследования: на изучение эксперту F6 поступил системный блок, на котором найденные документы создавали, редактировали и выводили на печать. Создав криминалистическую копию накопителя на жестких магнитных дисках (НЖМД), специалист приступил к анализу хранящейся в памяти информации.

❓Какую тактику исследования выбрал Андрей Кравцов, какие зацепки оказались ключевыми и что удалось обнаружить? Во всех подробностях рассказываем в блоге. Читать обязательно!

«Взломай меня, если сможешь!» — на ближайшем вебинаре обсудим NFCGate, SpyNote и атаки с использованием социальной инженерии 😎

▪️ Когда? 13 марта 2025, 11:00–13:00

▪️ Кто? Максим Савинов, антифрод-аналитик F6

▪️ О чем? Об актуальных техниках атак на онлайн-сервисы с использованием ВПО.

Ответим на все вопросы участников, разберем свежие кейсы, проясним детали — уже через 3️⃣ дня.

💚 ЗАРЕГИСТРИРОВАТЬСЯ

Праздник, подарки и… мошенники 😧 В карточках рассказываем, с чем сталкиваются ритейлеры в марте 2025-го.

Спрос высокий, платежи проходят в ускоренном режиме, пользователи менее внимательны — идеальная среда для атак. По данным F6 Fraud Protection, в период покупательского бума количество фишинговых атак возрастает на 37,8%, а число фальшивых интернет-магазинов — на 17,68%.

Евгений Егоров, ведущий аналитик F6 Digital Risk Protection:

Женский праздник распространяется на все возрастные категории, расходы на подарки выше, это и привлекает мошенников. Возникает ажиотаж, и на фоне множества коммерческих предложений им легче замаскировать свои схемы.

Традиционно злоумышленники запускают поддельные ресурсы по продаже цветов, подарков, билетов. Фишинговые сайты для кражи данных банковских карт и мошеннические — с переводом денег. Схемы направлены как на мужчин, так и на женщин.

➡️ В карточках собрали топ-схемы мошенников в этот период и порекомендовали эффективное средство для борьбы с ними.

Time to… Time-of-Click! Объясняем, как и для чего использовать новую фичу решения F6 Business Email Protection.

💻 Ситуация
Представьте: бухгалтер получает письмо со ссылкой на пустое облачное хранилище. Первая реакция — недоумение и ответное письмо с вопросом «Где файл?» Так сотрудник вступает в переписку со злоумышленником, который только после получения ответного письма подкладывает документ-приманку и вредоносное ПО и просит перепроверить хранилище еще раз.

💻 Как защитит Time-of-Click?
Технология анализирует ссылку непосредственно в момент перехода по ней. Пользователю отображается не оригинальная ссылка, а исключительно результаты проверки. Перейти получится только в результате позитивного заключения. Так Time-of-Click предотвращает угрозы даже в случае изменения содержимого ссылки.

Особенности Time-of-Click:

💚 вариативность уровня защиты — для всех сотрудников или для тех, кто подвержен большему риску.
💚 гибкая настройка камуфлирования — например, исходная ссылка может быть заменена или полностью, или частично;
💚 использование в облаке и on-prem.

⤵️ Протестируйте Time-of-Click бесплатно в рамках пилота F6 Business Email Protection

Число краж Telegram-аккаунтов растет. Мошенников интересуют в том числе Telegram Stars и NFT-подарки.

▪️По данным Digital Risk Protection, с июля по декабрь одна из групп злоумышленников похитила более 1,2 млн аккаунтов пользователей — это на 25,5% больше год к году в сравнении с результатами аналогичной группировки.

▪️Для создания фишинговых ресурсов мошенники используют веб-панели или Telegram-боты. Уловки стандартные: денежные призы, подарки, сообщение от службы безопасности, доступ в приватный канал и др.
 
▪️На теневом рынке аккаунт, зарегистрированный на российский номер, продают примерно за 160 рублей. Цена зависит от:

〰️наличия премиум-подписки;
〰️прав на другие каналы;
〰️количества диалогов;
〰️продолжительности неактивного периода после кражи;
〰️курса доллара;
〰️ситуации на рынке: больше аккаунтов в продаже — ниже стоимость.
 
▪️Злоумышленников также интересуют цифровая валюта Telegram Stars и коллекционные виртуальные подарки, включая NFT. Их можно вывести на подставные аккаунты, а потом продать.
  
❗️ Еще из нового:

Аналитики Digital Risk Protection F6 обнаружили автоматизированную комбо-схему, в которой похищенный аккаунт автоматически начинает распространять мошеннические ссылки. Легенда — составление резюме работодателю, для отправки которого «необходимо авторизоваться через Telegram».

😉 Борьба с киберпреступностью

«Охота на воров 2» возглавляет пиратский рейтинг фильмов за февраль.

В этом месяце пираты ностальгировали по Бриджит Джонс, следили за Оскаром, увлекались боевиками и триллерами. Не знаем, что у них со вкусом, но рейтинг пяти фильмов из десятки ниже 6.0 (возможно, одна из причин, почему доходы рынка онлайн-пиратства снижаются уже шесть лет подряд).

Вот как топ-10 выглядит полностью:

1️⃣ «Охота на воров 2: Пантера»;
2️⃣ «Ущелье»;
3️⃣ «Компаньон»;
4️⃣ «Капитан Америка: Новый мир»; 
5️⃣ «Носферату»; 
6️⃣ «Плохая девочка»; 
7️⃣ «Звёздный путь: Секция 31»; 
8️⃣ «Бриджит Джонс. Без ума от мальчишки»; 
9️⃣ «Особо опасный пассажир»; 
1️⃣0️⃣ «Оплата кровью». 

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце.

😉 Борьба с киберпреступностью

Доверием россиян к ZARA и IKEA начали пользоваться мошенники.

Новости о возможном возвращении зарубежных брендов облетели на прошлой неделе весь Рунет. Мошенники традиционно встроились в повестку, и вот что они придумали.

▪️ Злоумышленники под видом представителей популярных магазинов звонят потребителям и предлагают восстановить бонусные карты. Для подтверждения они просят продиктовать код из смс. На самом деле с его помощью мошенники получают доступ к аккаунту на «Госуслугах».

▪️ Еще одна схема завязана на возвращении платежных систем Visa и Mastercard. Россиянам предлагают пройти «валидацию» по ссылке, чтобы восстановить карты.

Мария Синицына, старший аналитик департамента защиты от цифровых рисков Digital Risk Protection компании F6:

Большинство зарубежных брендов покинули Россию до того, как фишинг и скам поднялись на новый уровень. Даже если эти бренды и использовали в мошеннических схемах, то сейчас воспоминания об этом стерлись. Если у потребителей осталось доверие к бренду, злоумышленники попытаются это использовать.

Мошенники от имени брендов могут проводить фейковые розыгрыши, предлагать получить несуществующие «компенсации», «подарки» и скидки на будущие покупки, скачать в фейковом сторе приложение, которое на самом деле вредоносное.

😉 Борьба с киберпреступностью

Cерверы ITPOD успешно прошли тест на совместимость с F6 Managed XDR.
 
Флагманское решение для проактивного обнаружения сложных и неизвестных киберугроз было успешно установлено на сервер и корректно работало под нагрузкой всех модулей в едином контуре.

Главные функции F6 Managed XDR:
〰️противостоять целевым атакам;
〰️приоритизировать инциденты;
〰️изолировать зараженные хосты;
〰️блокировать спам, фишинг, вредоносные письма.

Эффективность совместной работы двух продуктов — серверов vStack и решения Managed XDR — оценят крупные предприятия из сегмента Enterprise, заинтересованные в выстраивании эшелонированной защиты.

😉 Борьба с киберпреступностью

📢 Лонгрид месяца! Психологи, «врачи», «рыбаки» — кто такие кибердетективы и из чего состоит их рутина?

О большинстве киберрасследований не узнают ни журналисты, ни безопасники из ИБ-сообщества. Стоило большого труда уговорить Вадима Алексеева, руководителя департамента расследований высокотехнологичных преступлений компании F6, немного подсветить внутреннюю кухню кибердетективов и секреты их ремесла. Но оно того стоило 😎

В нашей подборке — яркие цитаты из разговора. Полный текст читайте в блоге на нашем сайте.

И конечно, 💜 Вадиму за интересные инсайды

👀 Ваши сотрудники используют личные устройства или учетки в рабочих целях? А у удаленщиков есть доступ ко внутренним ресурсам компании?

Если ответы утвердительные — ваша компания в зоне серьезных киберрисков…

Подготовили чек-лист для бизнеса — и это абсолютный маст!

Киберпреступники становятся изощреннее с каждым днем, и даже малейшая уязвимость в защите может обернуться катастрофой — финансовыми потерями и ударом по репутации.

Чек-лист от F6 поможет:

💚 оценить уровень защиты вашего бизнеса от киберугроз;
💚 выявить слабые места в системе информационной безопасности;
💚 понять, какие меры нужно усилить, чтобы минимизировать риски.

В зависимости от результатов вы попадете в одну из трех категорий и получите четкий план действий.

⤵️ [Скачать чек-лист]

Узнайте, вы — кибершериф или маэстро открытых портов 😎

Ну, блин! Киберпреступники добрались до Масленицы.

▪️ Аналитики F6 Digital Risk Protection обнаружили сайты для инвестиционного мошенничества. Они созданы от имени известной энергетической компании и оформлены в масленичном стиле.

▪️ В честь праздника пользователям предлагают оставить данные для «поиска в списках на предоставление бонусов». Злоумышленник под видом менеджера звонит жертве, открывает доступ к «платформе» и уговаривает внести «депозит» для покупки акций. Итог — полная потеря внесенных денег.

Мария Синицына, старший аналитик департамента защиты от цифровых рисков F6 Digital Risk Protection:

Для мошенников каждый популярный праздник — предлог для создания новых и улучшения используемых схем обмана. Раньше мошенники заметного интереса к Масленице не проявляли, однако в 2025 году добрались и до нее. Скорее всего, это «пробный шар», на котором проверяют эффективность использования бренда Масленицы для противозаконных действий.

На Пасху аналитики F6 тоже будут в полной боевой готовности 😎

❗️ Кибберазведка F6 обнаружила новую схему шантажа атакованных компаний.

Эксперты F6 Threat Intelligence зафиксировали в даркнете новую партнерскую программу Anubis. Среди ее криминальных предложений аналитики обнаружили бизнес-модель, которая ранее не встречалась.

🔍 В схеме Data Ransom в качестве услуги предлагают не ВПО, а шантаж. Обычно злоумышленники сами взламывают компании и требуют у них выкуп за неразглашение чувствительных данных. Владелец программы, скрытый под ником superSonic, решил разделить эти процессы. Злоумышленникам, которые уже взломали компании и похитили их данные, но ещё не воспользовались ими, Anubis предлагает свои услуги переговоров о выкупе. Среди инструментов давления — информирование контрагентов компаний и клиентов, контролирующих организаций и публикации в соцсети X (экс-Twitter). Прибыль распределяется по схеме 60/40 (большая часть — партнеру, остальное — владельцу программы).

Аналитики F6 Threat Intelligence предполагают, что Anubis — усовершенствованная версия партнерской RaaS-программы InvaderX. Аргументы в пользу этой версии:

▪️Используется та же схема шифрования – ECIES (на основе эллиптических кривых), которая встречается редко.
▪️Еще одно совпадение — запрет на атаку стран БРИКС.
▪️Пользователь InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го. А пользователь superSonic зарегистрирован на форуме полгода назад, но сообщение о программе Anubis стало для него первым.

Участники партнерского сервиса уже работают: на момент исследования они опубликовали данные утечек как минимум 4 компаний из США, Австралии и Перу.

Подробности — в нашей статье на Habr.

Тренд 2024-го и угроза 2025-го — публикация баз данных в Telegram. Рассказываем подробнее.

▪️ За год специалисты департамента Threat Intelligence компании F6 зафиксировали практически в два раза больше публикаций баз данных российских компаний в Telegram, чем на тематических форумах.

▪️ В 2023 году около 69% всех публикаций приходилось на Telegram. В 2024-м — около 72%.

Лояльность преступников к мессенджеру объяснима: в отличие от андеграундных форумов, где необходимо набирать очки репутации, оплачивать регистрацию, следовать правилам, в Telegram любой пользователь может создать канал и публиковать как старые случаи утечек, так и приватные базы данных.

При этом андеграундные форумы продолжат существовать как площадки для публикации и продажи баз данных. Множество злоумышленников предпочитают не рисковать своими финансами, использовать гарант-сервисы форумов и связываться только с проверенными продавцами.

⤵️ Больше о киберугрозах и киберпреступлениях — читайте в нашем отчете.

Письма от СК и МВД: разобрали цепочки заражения группы ReaverBits и обнаружили уникальное ВПО.

▪️ ReaverBits — это группа киберпреступников, действующая с конца 2023 года. Группировка специализируется на атаках на российские компании в областях биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финсектора.

▪️ Особенности группировки — целенаправленные атаки исключительно на российские организации, активное использование методов спуфинга при проведении фишинговых атак, а также применение ВПО класса «стилер».

▪️ С сентября 2024 по январь 2025 года специалисты Threat Intelligence компании F6 зафиксировали три разные цепочки заражения с использованием обновленных инструментов — публично продающегося Meduza Stealer и нехарактерного для группы уникального ВПО ReaverDoor.

▪️ Распространяют ВПО под видом легитимных цифровых сертификатов и обновлений. В сентябре 2024-го исследователи фиксировали рассылки фишинговых электронных писем, направляемых от имени СК РФ. Через них злоумышленники распространяли Meduza Stealer. В январе 2025-го специалисты F6 обнаружили письмо якобы от МВД РФ — тоже с Meduza Stealer. Продолжив поиски и исследование файлов, аналитики Threat Intelligence обнаружили ранее неописанный бэкдор, который получил название ReaverDoor.

➡️ Все детали атак, атрибуции и индикаторы компрометации — в новом блоге компании.

😉 Борьба с киберпреступностью

💥Уже завтра, 26.02.25, на AM Live состоится эфир, посвященный теме киберразведки. Не пропустите, будет интересно!

👉Зарегистрироваться >>

🙋🏻Спикер - Евгений Чунихин,
Бизнес-руководитель департамента киберразведки, F6

⚡️ Новый курс от F6 ⚡️ Расскажем всё об исследовании атак шифровальщиков.

Этим постом объявляем о старте записи на трехдневный курс-интенсив «Исследование атак шифровальщиков».

Когда: 25—27 марта 2025 г.
Кто: Михаил Николаев, старший тренер по компьютерной криминалистике.
Зачем: чтобы использовать методы криминалистики хоста для реагирования на атаки, определять тактики, техники и процедуры (TTP), используемые атакующими, осуществлять меры противодействия атакам операторов-шифровальщиков.
Для кого: ИБ-специалисты, технические специалисты с опытом в ИБ, специалисты по реагированию на инциденты.

Делитесь информацией о новом курсе с теми, кому он актуален ❤️

😉 Борьба с киберпреступностью

👀 В 2024 году обнаружено 27 прогосударственных групп, атакующих Россию и СНГ. Это число почти вдвое превышает количество групп, деятельность которых раскрыли в 2023 году.

▪️ Госведомства и военные организации — приоритетная цель для прогосударственных APT-групп.

▪️ Наиболее активной в 2024 году была группа Sticky Werewolf, которая проводила много атак преимущественно на промышленность.

▪️ Еще одна из самых стабильных групп — Cloud Atlas. Ее также считают одной из самых скрытных — группа использует один и тот же сценарий атак на протяжении долгого времени.

⤵️ Больше о киберпреступлениях и киберугрозах — читайте в нашем отчете.

Полный список прогосударственных группировок — смотрите в инфографике к посту.

Весна — время начинать что-то новое! И наши курсы — всегда отличный план 😎

1️⃣ Исследование киберпреступлений
Когда: 12—13 марта 2025.
Для кого: для техспециалистов с опытом в ИБ, ИБ-специалистов, руководителей отделов ИБ/ИТ.
Зачем: чтобы уметь распутывать клубок из фрагментов информации, разбросанных по сети, и восстанавливать детали произошедшего.
Ключевые темы:
▪️ техническое исследование инфраструктуры атакующего по открытым данным;
▪️ наиболее распространенные виды хакерских атак;
▪️ исследование информации из Dark Web и поиск цифровых следов;
▪️ принципы исследования инцидентов с криптовалютой.

2️⃣ Основы защиты информационных систем
Когда: 18—20 марта 2025.
Для кого: специалистов ИБ/ИТ, команд SOC/CERT.
Зачем: чтобы решать комплекс разносторонних задач по защите информационных систем — мониторить активность в сети организации, оперативно определять инциденты и снабжать команду актуальными данными об угрозах.
Ключевые темы:
▪️ основы менеджмента ИБ и функции SOC;
▪️ обзор классов решений ИБ;
▪️ мониторинг и детектирование: сигнатуры и правила;
▪️ реагирование на инциденты: анализ сетевого трафика и данных на хосте;
▪️ основы вирусного анализа, киберразведки и проактивного поиска угроз.

❗️ Все курсы платные и проходят онлайн. Чтобы узнать больше или записаться, кликните на название курса в этом посте.

❓Остались вопросы? Задавайте их через форму на странице курса или пишите на education@f6.ru

😉 Борьба с киберпреступностью

Мошенники проиграли в лотерею: «Столото» и F6 подвели итоги 2024 года.

Результатом многолетней совместной работы двух компаний стал тренд на снижение количества мошеннических ресурсов, работающих под видом гослотерей.

За 2024 год удалось:

💚 заблокировать 10 533 мошеннических ресурса, которые действовали под видом популярных гослотерей, в том числе нелегально использовали бренд «Столото».

💚 Среди заблокированных ресурсов — 9513 фишинговых сайтов, 615 фейковых постов, аккаунтов и групп в соцсетях, 51 канал/аккаунт в мессенджерах, 354 фейковых приложения.

Станислав Гончаров, руководитель департамента защиты от цифровых рисков (Digital Risk Protection) компании F6:

Решение F6 Digital Risk Protection, которое обеспечивает защиту цифровых активов и брендов, постоянно совершенствуется и обновляется с целью покрытия большего количества цифрового пространства. За счет этого увеличилось количество показателей обнаруженных мошеннических ресурсов во втором полугодии 2024 года.

Если вам позвонили и представились сотрудником гослотерей, помните, что представители «Столото»:

❗️ не просят сообщить по телефону ваши персональные данные, номер карты и одноразовый пароль из СМС ни для каких целей;
❗️ не предлагают установить на компьютер программы для обеспечения удаленного доступа (TeamViewer, AnyDesk, RMS, RDP, Radmin, Ammyy Admin, AeroAdmin).

Если вы слышите подобные просьбы от звонящих — это 👎

😉 Борьба с киберпреступностью

⚡️ Главные киберугрозы 2025 года⚡️Компания F6 представила первый ежегодный аналитический отчет «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25».

Валерий Баулин, генеральный директор компании F6:

За последние годы не только прогосударственные хакерские группировки, но и киберпреступники, а также хактивисты получили доступ к вредоносным киберинструментам, которые могут погрузить мир в цифровые «тёмные века». 2025 год уже преподносит множество неприятных сюрпризов. В отчете мы представили прогнозы, которые, как показывает опыт, оказываются точны и незаменимы при планировании ИБ-стратегии.

Немного внутрянки ⬇️

▪️ В 2024 году прогосударственных APT-групп, атакующих Россию, стало в два раза больше — 27. Также за год было обнаружено 12 новых группировок: Unicorn, Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate Mogwai, TaxOff и др.

▪️ Количество DDoS-атак году выросло минимум на 50% — как по количеству, так и по числу задействованных в ботнетах устройств.

▪️ Трансформируется ландшафт киберугроз: размываются границы между хактивистами, прогосударственными APT-группами и киберпреступниками. Так, хактивисты-диверсанты все чаще атакуют госорганы и компании, используя программы-шифровальщики, а кибершпионы выкладывают украденные базы данных в публичный доступ, чтобы нанести российским компаниям максимальный урон.

▪️ Программы-вымогатели — одна из главных киберугроз в 2025 году. Специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков — рост почти в полтора раза год к году. Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса доходили до 5 млн рублей, а для крупных и средних компаний — начинались от 5 млн рублей.

▪️ За год было обнаружено 455 не опубликованных ранее баз данных компаний из России и Белоруссии. Количество строк в утечках превысило 457 млн.

▪️ С увеличением распространения Android-устройств хакеры совершенствуют комбинированные методы атак с использованием фишинга, социальной инженерии и вредоносных приложений.

Уникальные данные были получены благодаря использованию платформы киберразведки F6 Threat Intelligence, флагманского решения для защиты от сложных и неизвестных киберугроз F6 Managed XDR, платформы F6 для защиты цифровых активов Digital Risk Protection.

⤵️ Скачать отчет можно по ссылке.
Обратите внимание: это получится сделать только с корпоративной почты.

🔍 Ознакомиться с основными тезисами можно в пресс-релизе.

Разгон от ₽40 млн до ₽150 млн всего за месяц! Приводим свежий отчет по мошеннической NFC-схеме с перехватом и передачей данных банковских карт.

▪️ За месяц число подтверждённых атак увеличилось на 80%, средняя сумма ущерба выросла вдвое — до ₽200 тыс., а общая сумма ущерба — более чем в три раза и составила около ₽150 млн. О количестве зафиксированных атак и сумме ущерба с середины декабря по середину января мы рассказывали здесь.

▪️ Сейчас в России насчитывается не менее 114 тыс. скомпрометированных Android-устройств, на которых установлено ВПО, способное через NFC-модули перехватывать и передавать данные банковских карт. И эта цифра точно будет расти. Банки проходят проверку на прочность каждый день и ищут способы эффективного реагирования на новые мошеннические схемы.

Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6:

С учетом особенностей платформы Android и относительной простотой распространения такого ВПО, как NFCGate и CraxRAT, мы ожидаем значительный рост числа атак. Киберпреступники следят за развитием антифрод-решений и оперативно адаптируют техники для обхода ограничений — применяют приемы социальной инженерии, создают фишинговые ресурсы, имитирующие приложения банков. Само ВПО разрабатывается как готовый сервис для мошеннических колл-центров. Также мошенники могут использовать технологию NFCGate для скиминговых (шиминговых) атак.

Что делать в такой ситуации физлицам и банкам — объясняем на нашем сайте.

😉 Борьба с киберпреступностью