Борьба с киберпреступностью | F6

«Тише, но ближе»: как меняются атаки в 2025 году? Атак меньше не стало, они просто перестали «шуметь» — злоумышленники действуют точечно, через привычные сервисы, подрядчиков и легитимные облачные решения. ‼️ PhantomCore, GOFFEE, Sticky Werewolf и Hive0117 работают методично, выстраивая цепочки, где каждая ошибка подрядчика становится входом в инфраструктуру. По данным F6 Threat Intelligence, за первые три квартала 2025 года зафиксировано 1000+ атак на российские и белорусские компании. Из них более сотни — целевые кампании прогосударственных группировок. APT-активность сокращается количественно, но растет в качестве: меньше шума, больше точности. Особенности новых атак:  ▪️ компрометация подрядчиков вместо прямого взлома;  ▪️ маскировка под легитимные процессы в облаках;  ▪️ использование открытых инструментов и open source решений для обхода защиты;  ▪️ слияние ролей: хактивисты шифруют, а вымогатели атакуют инфраструктуру без выкупа. В новом кейсе F6 Threat Intelligence собран ландшафт угроз 2025 года: кто атакует, какие тактики и техники (TTPs) применяются и почему границы между преступными кластерами стираются. Внутри — матрица MITRE ATT&CK, карта активных группировок и аналитика их почерка. ➡️ Полную версию кейса читайте здесь

Тонете в сотнях уведомлений, пока реальные угрозы проходят мимо? Классический SOC генерирует десятки алертов ежедневно. Ваши специалисты часами разбирают их, но настоящая атака теряется в этом шуме. Это кризис модели «обнаружения без реагирования»: 🔴 SIEM есть, но не хватает ресурсов на реакцию? 🔴 Аналитики заняты рутиной вместо расследований? 🔴 Платите за мониторинг, но инцидент — всё равно ваша головная боль? Классический SOC больше не работает. Он фиксирует угрозы, но не останавливает их. Решение — F6 SOC MDR. Это сервис полного цикла, где эксперты не только находят угрозы, но и ликвидируют их. Вы получаете отчет о уже закрытом инциденте. Рассказали обо всем подробнее в статье: «Почему классический SOC больше не спасает и что делать вместо него». Не используйте вчерашние методы против завтрашних угроз.

Мерч за устойчивость 😎 Проводим оценку защищенности на SOC Forum! Внешний периметр — первая линия обороны от кибератак. Для участников SOC Forum и не только мы подготовили онлайн-тест — 15 вопросов и всего пара минут, за которые вы сможете оценить устойчивость периметра и получить персональные рекомендации. Что нужно сделать ⬇️ 1️⃣ С 18 по 20 ноября заполните форму и пройдите тест. 2️⃣Получите оценку и персональные рекомендации по итогам прохождения теста. 3️⃣ Независимо от результатов заберите мерч от компании F6 на стенде (П4+). 4️⃣ Задайте вопросы экспертам F6, чтобы узнать больше о способах и инструментах защиты внешнего периметра. ‼️ Пройти тестирование могут не только участники форума. Желаем удачи и ждем вас на стенде 🔥

⚡️ Провели первый F6 CyberDay в Минске — конференцию для действующих и потенциальных клиентов. Ловите инсайды из выступлений топ-менеджеров F6 ⬇️ ▪️ Рынок Беларуси уже занимает высокую долю выручки F6, и компания готова инвестировать в его дальнейшее развитие. ▪️ После выхода на международный рынок летом 2026 года Беларусь станет для F6 центральным хабом для работы на рынках стран СНГ. ▪️ Решения F6 — Fraud Protection, Threat Intelligence, DRP, ASM и модули MXDR — уже сейчас успешно защищают больше половины клиентов белорусских банков и сами финансовые организации от мошенничества и актуальных киберугроз. ▪️ Система для предотвращения сложных и неизвестных целевых атак F6 Managed XDR проходит процесс сертификации у местного регулятора. ▪️ Формат F6 CyberDay в Минске станет ежегодным. Как прошло пилотное мероприятие — смотрите на любой удобной платформе! 📺 VK Видео 📺 YouTube 📺 RuTube

6000 инцидентов и ₽850 млн 😧 Рассказываем, как мошенники зарабатывают на атаках через детей. В 2025 году аналитики Fraud Protection F6 ежедневно фиксировали в среднем 20 успешных атак, когда киберпреступники управляли действиями детей, чтобы получить доступ к счетам их родителей. Основные локации: онлайн-игры, соцсети и мессенджеры. Самое уязвимое место — игровые платформы Roblox, Minecraft и др. Здесь проще и быстрее установить контакт с ребенком, не привлекая внимания взрослых. ‼️ Важный фактор: дети часто играют с телефонов родителей. А именно их устройства содержат нужный мошенникам доступ к банковским счетам, госсервисам и другим важным данным. Вот какие схемы манипуляций чаще всего используют киберпреступники в общении с детьми ⬇️ 1️⃣ Выгодное получение игровой валюты, скинов или бустов, например, в розыгрыше от блогера. 2️⃣ «Безопасные» задания. Ненавязчиво пообщавшись с ребенком в игре, мошенники могут попросить сделать скрин желаемой вещи из игрового магазина, сфотографировать себя или родителей, сделать скрин экрана. Далее следуют давление и угрозы, цель — запугать ребенка, чтобы тот продолжил выполнять указания, боясь «уголовной ответственности для родителей». 3️⃣ Запрос геолокации. Детей просят поделиться местоположением, после чего им поступает голосовое сообщение, в котором преступники угрожают запуском дронов по дому ребенка. Подробнее об атаках на несовершеннолетних читайте в релизе.

Новый остросюжетный эпизод ИИ-сериала F6 и @SecLabNews 😎 Кстати, киберзагадка из этой серии напрямую связана с той самой хакершей из первого выпуска. Мы продолжаем CyberStory — первый ИИ-сериал о хакерах и киберпреступности. На этот раз в эпицентре скандала и оперативных вмешательств оказалась кинокомпания «25-й этаж». Эти ребята решили снять фильм о российской дроперше Кристине, которую журналисты назвали «самой сексуальной хакершей». После допросов, обысков и задержаний выяснилось, что операция проходила в рамках международного расследования атак банковского трояна Dyre. 🎥 Имели ли киношники к этому отношение? Смотрите в видео!

Как сменить номер и не потерять данные и доступы? Объясняем в новом выпуске «Кибершпаргалки». Лишиться привычного мобильного номера не фобия, а вполне реальная история. Нередко она происходит легитимно: когда человек по разным причинам долгое время не пользуется номером, операторы сотовой связи забирают его. И совсем скоро номер может оказаться у нового пользователя, который вместе с сим-картой получит ключ к вашим аккаунтам и счетам, даже если сам того не желает. Как сменить номер, но сохранить цифровую личность — объясняет эксперт по кибербезопасности Сергей Золотухин.

⚡️ F6 зафиксировала новые вредоносные рассылки кибергруппы CapFIX. Кампания нацелена на ритейлеров, коллекторские агентства, микрофинансовые учреждения, страховые компании. 11 ноября система F6 MXDR заблокировала вредоносную рассылку с использованием спуфинга почты российского туристического агентства. Аналитики Центра кибербезопасности и Threat Intelligence F6 обнаружили, что письма распространяли бэкдор Capdoor.

CapDoor — бэкдор, обнаруженный в 2025 году в ходе исследования атаки с использованием вредоносной капчи (ClickFix).

Как происходила атака? ▪️ Злоумышленники направляли письма под видом рекомендаций якобы от ФСБ по поведению при минной угрозе, а также требований предоставить отчетность по противодействию информационным атакам. ▪️ Внешний вид вложения побуждал жертву скачать по ссылке программный комплекс «КриптоПро» для корректного отображения. ▪️ Ссылка вела на домен, при переходе на устройство жертвы загружался защищенный паролем архив с именем «Пакет установки КриптоПРО.rar». Анализ одного из вредоносных вложений на Malware Detonation Platform F6 ▪️ Финальная нагрузка представляет собой модифицированную версию бэкдора Capdoor для x64 архитектуры. ‼️ 12 и 13 ноября злоумышленники провели повторную рассылку — система F6 MXDR заблокировала еще несколько писем, направленных в рамках этой же кампании в адрес сетевого ритейлера и финорганизаций. Техники злоумышленников из CapFIX и индикаторы компрометации — в нашей статье на Habr.

«Добрый вечер, я диспетчер». Рассказываем о новом мошенническом сценарии с проверкой отопления. ▪️ Специалисты F6 выяснили, что злоумышленники под видом диспетчеров сообщают о проверке отопительной системы. Они пишут в мессенджер: «В связи с началом отопительного сезона наш мастер будет полностью проверять отопительную систему. Когда удобно будет встретить мастера?». ‼️ Особенность сценария — отказ преступников от просьбы назвать код из СМС. Код — маркер мошеннической атаки, который останавливает уже многих пользователей, поэтому теперь мошенники используют ссылки на фейковые сайты. На любые уточняющие вопросы неизвестный направляет ссылку с сообщением: «Здесь вся информация по проверке, включая адрес. Проверьте и пришлите мне скриншот для отчетности». ▪️ Далее — запугивают жертву взломом личного кабинета госсервиса и уголовной ответственностью, например: «Вы перешли по мошеннической ссылке и из-за этого обязуетесь выплачивать кредит за переводы на Украину», «Ваша машина будет изъята. Квартира под арестом. Возможности распоряжаться имуществом уже не будет». ▪️ В финале атаки требуют перевести деньги на якобы «безопасный счет» или передать курьеру. ‼️ Известные F6 кейсы этой атаки произошли в ноябре, уже после начала отопительного сезона. Все детали о новом сценарии читайте в релизе.

📢 Отсутствие подозрительных событий в логах — не всегда признак безопасности. Почему злоумышленники остаются незамеченными и где их искать — отвечаем на бесплатном вебинаре. «Где прячется злоумышленник? Ответ SOC MDR» Когда? 27 ноября в 11:00 Какие темы затронем: 💚 Почему проактивный поиск угроз — основа безопасности, а не дополнительная опция? 💚 Как технологии обнаруживают атакующих на начальной стадии атаки? 💚 Реальные инциденты: от первых признаков до полного расследования. 💚 Как восстановить полную картину атаки и устранить угрозу? ➡️ Регистрируйтесь, чтобы участвовать в вебинаре или получить запись

🔥 Через неделю встречаемся на SOC Forum 🔥 Превращаем сухие слайды из презентаций в действия. Эксперты кибербез-компаний, регуляторы, техгиганты — все соберутся на одной площадке, чтобы говорить о реальных атаках и эффективной защите от них. Команда F6 будет ждать вас на стенде и в зоне докладов. Вот о чем расскажут наши эксперты. 📍 20 ноября, 16:00. Зал 4. Спикер: Роман Черенков, технический руководитель SOC Доклад: «META Stealer, Sticky Werewolf и слепые зоны SOC: почему мониторинга внутренней сети уже недостаточно» 📍 20 ноября, 15:30. Зал 3. Спикер: Владислав Азерский, замруководителя Лаборатории цифровой криминалистики и исследования вредоносного кода Доклад: «После Red Team можно не бояться атак… Не бояться атак, да?» 🟣 Также директор по маркетингу F6 Анастасия Меркулова примет участие в дискуссии «Почему маркетинг кибермошенников круче маркетинга многих ИБ-компаний». 🎥 Смотрите видео, чтобы узнать подробности выступлений лично от наших спикеров. 📍 Стенд F6 располагается на территории SOC Forum — П4+. Мы подготовили кое-что интересное, но об этом позже 😎 Увидимся на SOC Forum!

ASM против VM: кто выиграет гонку за безопасность? Мы сравнили Attack Surface Management и Vulnerability Management: обе системы работают на защиту бизнеса, но решают разные задачи. 〰️ VM ищет и устраняет уязвимости внутри инфраструктуры. Сканеры проверяют известные серверы, базы, приложения, формируют отчеты и передают их администраторам. Этот подход эффективен, но ограничен списком активов, занесенных в инвентарь. 〰️ ASM показывает внешний контур глазами злоумышленника. Система выявляет домены, поддомены, облачные сервисы, цифровые следы подрядчиков, оценивает риски и фиксирует изменения в реальном времени. ASM находит то, о чем внутри компании могут не знать. Пока VM проверяет внутренние системы, ASM видит всё, что доступно из интернета. В связке эти технологии создают целостное управление рисками: внешнее наблюдение показывает экспозицию, внутренний анализ проверяет глубину. В статье объясняем, почему анализ поверхности атак становится базой цифровой устойчивости бизнеса и как ASM помогает опередить атаки.

Откладывал обучение с января? 👀 Последний шанс успеть прокачаться в этом году — объявляем набор на декабрьские курсы. В мире кибербеза нет пауз и «давайте уже после праздников». Атаки становятся сложнее, а расследования требуют всё большей точности. Поэтому откладываем поедание мандаринов и осваиваем навыки анализа и выявления киберугроз. 1️⃣ Аналитик SOC Когда? 9–11 декабря 2025. Кто? Алексей Федосеев и Владислава Смирнова, старшие аналитики Центра кибербезопасности F6. Чему научитесь: эффективно мониторить события ИБ, выявлять угрозы и отличать реальные инциденты от ложных сработок. Освоите методы криминалистики ОС и сетей, разработку правил детектирования (Suricata, SIGMA) и threat-hunting с помощью XDR. 2️⃣ Компьютерная криминалистика и реагирование на инциденты в ОС Windows Когда? 15–19 декабря 2025. Кто? Михаил Николаев, старший тренер по кибербезопасности F6, и Игорь Лешков, тренер по кибербезопасности F6. Чему научитесь: изучите методы сбора и анализа криминалистических данных, создание копий накопителей и восстановление картины атак, самостоятельно поработаете с образом жесткого диска и дампом памяти: анализ артефактов, восстановление хода инцидента, сопоставление с MITRE ATT&CK. 🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте edu@f6.ru. Делитесь информацией о курсах с теми, кому они актуальны ❤️

Идеальное место для встречи с мошенником. Объясняем новую схему с арендой недвижимости.   Сценарий атаки завязан на фейковом сервисе онлайн-бронирования домов для отдыха Point House и ориентирован на жителей Москвы и Подмосковья. ▪️ Действия скамеров частично повторяют схему FakeDate. Они знакомятся с мужчинами под видом привлекательных девушек, а установив доверительные отношения, предлагают встретиться — снять «уютный домик для отдыха в приватной атмосфере». ‼️ Сайт фейкового сервиса point-house[.]homes копирует фото и названия объектов реального гостевого дома в Подмосковье. ▪️ «Девушка» направляет жертве ссылку и «промокод» на скидку (ID, который позволяет организаторам узнать, кто из скамеров привел пользователя). Жертвами скам-группы с начала сентября стали 300 пользователей из России, которые перевели мошенникам 2,3+ млн руб. ➡️ Детали схемы описали в релизе.

❗️ В России появится консорциум компаний, которые будут обмениваться информацией о новых мошеннических схемах в сфере информационной безопасности для предотвращения фишинга и кибератак. Консорциум, который получил название Центр аналитики социальной инженерии и ИИ в кибермошенничестве, будет создан на базе «Кибердома». В него войдут: ▪️ F6; ▪️ RUTUBE; ▪️ «Билайн»; ▪️ «Логика молока» (бывшая Danone в России); ▪️ Т-банк; ▪️ Infosecurity (ГК Softline); ▪️ Центр правовой помощи гражданам в цифровой среде. В I квартале 2026 года Центр аналитики запустит платформу, где будут публиковаться детальные отчеты для бизнес-сообщества.

Дмитрий Ермаков, руководитель департамента Fraud Protection F6: Какой бы крупной компания ни была, в одиночку эффективно противодействовать скаму уже невозможно. Необходимо объединять экспертизу, данные и тактики противодействия в едином контуре.

Технологической основой пилотного отчета стала разработанная компанией F6 «Матрица фрода» (Fraud Matrix) — база знаний, в которой разобраны все актуальные схемы финансового мошенничества и более сотни техник, которые используют злоумышленники. 😉 Борьба с киберпреступностью

Пираты по соседству: F6 сравнила рынок нелегального контента в России и Беларуси. Аналитики Digital Risk Protection F6 выяснили, что отличий между сегментами онлайн-пиратства в соседних странах больше, чем сходств. ▪️ Даже в самый неблагоприятный для пиратов 2024-й год объемы рынка в России составили $36 млн — в 24 раза больше, чем у ресурсов, нацеленных на белорусскую аудиторию.   ▪️ Организаторы пиратских ресурсов для россиян за два года потеряли 20% доходов, а в белорусском сегменте доходы увеличились на 12%. ▪️ В белорусских пиратских плеерах преимущественно не встроена реклама, а в русскоязычных пиратских CDN реклама в плеере — один из основных источников дохода. Еще одно отличие — заработок «белорусских» пиратов на донатах. ▪️ В России популярность легальных стримингов сокращает трафик поисковых запросов на пиратские порталы: за 2024 год падение на 4%. В Беларуси поисковые запросы на пиратские ресурсы увеличились на 7%, хотя стриминги там тоже развиваются. Больше цифр, тенденций и сравнительной аналитики — в новом блоге F6.

Как обманывают детей в онлайн-играх? Вместе с RuStore собрали топ популярных схем. Дети знакомятся с онлайн-играми в возрасте от 2 до 6 лет. Уже с этого момента их начинают подстерегать реальные киберугрозы. Большинство из них завязаны на обмане при получении игровой валюты — и вот несколько таких ловушек. 1️⃣ Геймеры-«помощники» Дети часто хотят получить бусты для персонажа с помощью игровой валюты, которую можно купить за деньги. Получая отказ от родителей, они обращаются во внутриигровых чатах к другим геймерам, которые могут оказаться мошенниками. 2️⃣ Сомнительные платформы Из интернета или от другого игрока ребенок может узнать о сайтах, где якобы по выгодному курсу можно купить игровую валюту. Сумма обычно невысокая, чтобы ребенок мог накопить ее или попросить у родителей, не вызывая подозрений. 3️⃣ Обмен вещами (трейд) Ребенку дарят недорогой айтем, а потом просят его обменять на более дорогой комплект. Ребенок открывает трейд, и когда он заполняется вещами, мошенник быстро, пока ребенок не закрыл окно, проводит трейд, забирая всё себе. 4️⃣ Перевод в другой сервис Часто детям указывают на «золотую жилу» с условными робуксами и переводят по сторонним ссылкам. Цель — данные учеток в соцсетях, банковских приложениях, на «Госуслугах». Подробнее о схемах обмана детей — рассказали в статье.

Один неверный клик сотрудника — и миллионы рублей уходят злоумышленникам. Это не сценарий фильма, а ежедневная реальность бизнеса. По данным исследований, человеческий фактор — основная причина утечек. Именно ваши коллеги, сами того не желая, становятся «слабым звеном», открывая фишинговые письма и переходя по опасным ссылкам. ▪️ Готова ли ваша команда к атаке? ▪️ Отличит ли финансист поддельное письмо со срочным поручением директора от настоящего? ▪️ Не подключится ли продажник к открытому Wi-Fi во время работы с клиентской базой? ▪️ Не перешлет ли HR резюме кандидатов на личную почту «для удобства»? Такие мелочи ведут к многомиллионным убыткам, ударам по репутации и проверкам регуляторов. Хорошая новость: сотрудников можно превратить из главной угрозы в первый рубеж обороны. Как это сделать? Подробно разобрали в нашей статье.

Как вычислить уязвимости бизнеса до того, как их обнаружат злоумышленники? Любая компания оставляет цифровой след. Поддомены, тестовые среды, открытые интерфейсы, устаревшие библиотеки, корпоративные адреса в утечках — всё это становится ориентиром для атакующих. ‼️ Стандартные проверки не показывают, как организация выглядит извне, а именно так на нее смотрят злоумышленники, выбирая цель. Индекс кибербезопасности F6 позволяет увидеть цифровой контур глазами атакующего. Он анализирует инфраструктуру, почтовые сервисы, DNS, SSL, публичные IP и внешние упоминания, после чего формирует отчет с конкретными зонами риска. Это инструмент, с которым можно управлять безопасностью как бизнес-процессом, а не реагировать на последствия. 📍 13 ноября в 11:00 эксперты F6 проведут вебинар «Индекс кибербезопасности F6: диагностика вашего сайта перед угрозами». Расскажут, как интерпретировать результаты Индекса, расставлять приоритеты и использовать данные диагностики для укрепления защиты. ➡️ Регистрация на вебинар

Нужна квартира и ваш аккаунт. F6 зафиксировала новую схему мошенничества в сфере недвижимости. В отличие от известных сценариев, связанных с продажей и арендой домов и квартир, цель злоумышленников — получить доступ к личному кабинету пользователей.

Александр Сапов, старший аналитик Digital Risk Protection F6: После введения законодательных ограничений на регистрацию сим-карт мошенникам стало труднее получить новые номера, с помощью которых они могли бы регистрировать фейковые аккаунты и размещать объявления-приманки. Вероятно, именно этим вызван интерес киберпреступников к угону учетных записей в сервисах поиска недвижимости.

Как работает схема? ▪️ Мошенники создают фейковые домены, маскирующиеся под известные сервисы поиска недвижимости. В адресах фишинговых страниц фигурируют название бренда и слова rent и flat. ▪️ Они размещают объявления-приманки о сдаче квартир в городских Telegram-каналах или, наоборот, пишут напрямую собственникам что-то вроде: «Мне попалась квартира по другому адресу, информация другая, но фотографии ваши». ▪️ В обоих случах злоумышленники присылают фишинговые ссылки. Если пользователь укажет запрашиваемые данные и введет код подтверждения доступа, доступ к аккаунту перехватят. С 10 сентября 2025 года аналитики F6 обнаружили и заблокировали 8 доменов, используемых для фишинговых атак. 😉 Борьба с киберпреступностью