Борьба с киберпреступностью | F6

Дипфейки давно стали рабочим инструментом мошенников. Поддельные голосовые сообщения и видео, сгенерированные ИИ, всё чаще используются в атаках на сотрудников компаний и обычных пользователей. ‼️ Узнаваемый голос, привычная манера речи и давление на срочность снижают критическое мышление и помогают злоумышленникам добиваться своего. Наш эксперт Сергей Золотухин разобрал шесть наиболее распространённых схем мошенничества с использованием дипфейков. Как их распознать и как от них защититься — рассказываем в новом выпуске «Кибершпаргалки».

❗️ Киберугрозы-2025: предварительные итоги года от F6. Общая интенсивность атак на российские компании вышла на плато, однако ключевые риски сохраняются. Подробнее — в релизе, а главные цифры — здесь ⬇️ ▪️ Утечки В открытом доступе оказались 760+ млн строк данных россиян. Аналитики выявили 225 новых утечек баз данных российских компаний (-45,5% год к году). Основной канал публикаций — Telegram. В зоне повышенного риска: ритейл, госсектор, профуслуги, здравоохранение и ИТ. ▪️ APT и политически мотивированные атаки В 2025 году F6 зафиксировала активность 27 прогосударственных групп. Основные цели — госорганы, промышленность, НИИ, ВПК и ТЭК. Растет интерес к ИТ-компаниям как к точке входа для атак на клиентов. ▪️ Вымогатели Рост атак замедлился до 15% (44% в 2024), но угроза остается актуальной. Рекордный запрос выкупа — 500 млн рублей. В 15% инцидентов цель не выкуп, а диверсия. Чаще всего атаковали промышленность, торговлю и ИТ. ▪️ Угрозы и векторы 32% инцидентов — управляемые человеком атаки. На втором месте — майнеры (26%). Основной путь компрометации — загрузка ВПО пользователями (66% от общего числа атак). ▪️ От фишинга к скаму Мошенники все чаще переходят к схемам с оплатой по QR-кодам и реквизитам. Число скам-ресурсов на бренд превысило фишинг. В 2025-м было заблокировано 7 357 скам-ресурсов на бренд (+14% год к году) и всего 3 851 фишинговый ресурс на бренд (+3,6% год к году). В начале 2026 года F6 выпустит подробный аналитический отчет для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, который послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.

📢 Что изменилось в F6 Managed XDR в 2025 году: обзор обновлений и планы развития. Киберугрозы становятся все сложнее: появляются новые методы атак, бизнес активнее переходит на отечественные ОС, а требования к защите усиливаются. Команда F6 MXDR обновила каждый модуль Managed XDR, расширила возможности для обнаружения современных угроз и оптимизировала реагирование. На бесплатном вебинаре подробно расскажем и покажем, как эволюционировал продукт в этом году. Когда? 18 декабря в 11:00 Что в программе? ▪️ Живая демонстрация обновлённых модулей системы. ▪️ Дорожная карта развития решения на ближайший год. ▪️ Сессия вопросов и ответов с экспертами. Спикеры: ▪️ Дмитрий Черников — бизнес-руководитель департамента детектирования и предотвращения угроз. ▪️ Алексей Мокеев — технический руководитель департамента детектирования и предотвращения угроз. ➡️ РЕГИСТРАЦИЯ Запись будет доступна для зарегистрировавшихся

GG WP 😧 Мошенники раскручивают FakeTeam FakeSteam, чтобы атаковать российских геймеров. На фоне блокировки Roblox аналитики Digital Risk Protection F6 отмечают активизацию атак на пользователей игровой платформы Steam. Приоритетная цель — инвентарь, который можно продать на сторонней площадке и получить за него реальные деньги. Также взломанный аккаунт можно использовать для распространения фишинговых ссылок среди друзей пользователя. Как действуют мошенники ⬇️ ▪️ Они создают сайты платформы, которые выглядят как настоящие. Задача: перевести пользователя на поддельную страницу и убедить его ввести логин и пароль. ▪️ Ловушки для пользователей Steam мошенники расставляют в YouTube, TikTok и Twitch — показывают фишинговый ресурс в коротком видео и уводят на него в описании к ролику. В случае с Twitch — злоумышленники через видео предлагают бесплатно получить скины для игр Rust и CS2, уводя пользователя на фейковый сайт Twitch. Уже оттуда жертву направляют на авторизацию в фишинговом Steam.

Александр Сапов, старший аналитик второй линии CERT Digital Risk Protection F6: В этом сценарии злоумышленники используют одноразовые ссылки для перехода на фишинговую страницу. Если пользователь попытается открыть страницу на другом устройстве или передаст ссылку кому-то ещё — например, как доказательство фишинга, — доступ к контенту будет закрыт. Это позволяет мошенникам продлить срок «жизни» фишинговых ресурсов, так как регуляторы не смогут открыть конечный контент и получить основания для блокировки.

Детали схемы описали в релизе.

Что стало с группой Carberp? Рассказываем в новом эпизоде CyberStory! Продолжаем ИИ-сериал о хакерах и киберпреступности от F6 и @SecLabNews. В 2012 году полиция разгромила группировку Carberp. Ее лидеры сбежали в Одессу, и история получила неожиданный поворот: «кавказский плен», совместная операция России и Украины против осколков Carberp и последующее основание новой группы с переосмысленной тактикой. Подробности — в видео 😎

Buhtrap снова в деле: F6 выявила новую активность по распространению ВПО через сайты-приманки для бухгалтеров и юристов.

Buhtrap — название вредоносного ПО и одноименной преступной группы, действующей с 2014 г. В 2016 году исходные коды Buhtrap были опубликованы в открытом доступе, после чего его стали использовать разные финансово-мотивированные атакующие. В последние годы злоумышленники рассылают фишинговые письма, а также используют взломанные или фейковые бухгалтерские веб-ресурсы, чтобы заразить системы российских организаций вредоносной программой Buhtrap.

▪️ После атак через сервис ЭДО (электронный документооборот) в III квартале 2025 года злоумышленники переключились на создание инфраструктуры для распространения ВПО через привычную схему с сайтами-приманками. ▪️ Пользователь переходит на сайт-приманку через поисковую выдачу. Ресурс предлагает скачать бланки-образцы для формирования отчетов о финансах. После нажатия на бланк скачивается архив с вредоносной нагрузкой. 🔍 Результат детонации ВПО — на F6 Malware Detonation Platform. Такой подход — через сайты-приманки — сильно увеличивает масштаб заражения. Ведь бухгалтерия и соответствующая отчетность есть везде, поэтому эта угроза актуальна для любых отраслей любого размера. Отличительные особенности атак через ЭДО — разобрали в блоге на Habr.

Не покинули чат 😧 F6 исследовала мошеннические схемы, которые встречаются в игровых сообществах и направлены против детей. Многие подростки подписаны на тематические каналы и паблики, которые насчитывают десятки и сотни тысяч подписчиков. Ради большого охвата и нативности злоумышленники придумали расставлять свои ловушки прямо в комментариях. Эксперты Digital Risk Protection F6 выделили 12 популярных схем — среди них «крючки 18+», «обнал» Пушкинских карт, «съемки» со стримером и др. ➡️ Главное собрали в карточках. Подробнее об исследовании — в блоге.

Мошенники «вернули» Roblox 😧 Они создали фишинговый сайт, который предлагает играть на платформе без VPN. Аналитики Digital Risk Protection F6 обнаружили фейковый ресурс, который предлагает играть в Roblox в обход блокировки. Они продвигают фишинговую страницу, на которой необходимо ввести данные своей учетной записи. После этого аккаунт пользователя будет угнан.

Мария Синицына, старший аналитик Digital Risk Protection F6: Особенно ценными для мошенников являются учетные записи с игровой валютой на балансе, редкими персонажами, предметами и аксессуарами, а также аккаунты, на которых созданы популярные игры внутри платформы.

Также в соцсетях и мессенджерах появляются страницы и каналы с предложением купить или скачать VPN-сервисы специально для Roblox. ‼️ Большинство из них созданы для привлечения трафика на другие ресурсы, но среди них также могут быть мошеннические с оплатой без получения услуг и риском заражения устройства вредоносными программами. 😉 Борьба с киберпреступностью

📢 «Знаем не только как тушить пожары, но и как их не допустить». Руководитель центра кибербезопасности F6 Ярослав Каргалёв — в «Распаковке» для AM Live. В интервью Ярослав объясняет, как с помощью мониторинга внешнего периметра и нового подхода к управлению уязвимостями превратить хаотичный периметр в понятную карту рисков и закрывать действительно критичные проблемы до атаки. Немного хайлайтов ⬇️ ▪️ В чем эффективность связки SOC + MDR + ASM? ▪️ Как работает киберразведка F6? ▪️ Реальный кейс с уязвимостью Microsoft SharePoint. ▪️ Компаниям из каких сфер особенно нужен мониторинг внешнего периметра? Смотрите на удобной платформе ⬇️ 📺 VK Видео 📺 YouTube 📺 RuTube Если хотите сами протестировать услугу, оставьте заявку на пилотный проект на нашем сайте — мы проведем сканирование вашего внешнего периметра и предоставим отчет с примерами найденных рисков 💚 Запросить пилот

Каждая компания уверена, что знает свой внешний периметр, пока F6 ASM не покажет реальную картину. Рассмотрим на примерах ⬇️ ▪️ Сервис закрыли два года назад. Но он всё ещё доступен в интернете, на нём уязвимое ПО, админ-порт открыт — и здесь уже можно идти внутрь. ▪️ Или подрядчик развернул тестовый домен для пилота. Работа закончилась, домен забыли, его даже не мониторят. Имя бренда есть, а защиты нет. ‼️ Это не редкие промахи, а повседневность внешнего периметра. F6 ASM выявляет, что действительно происходит снаружи, и подсвечивает, что именно может стать точкой входа в атаку, если ничего не делать. Мы собрали реальные кейсы внедрения ASM: какими были риски, сколько стоили бы простои, какие ошибки почти привели к взлому. Коротко, конкретно и по делу. ⤵️ СКАЧАТЬ WHITE PAPER

📢 Эволюция мошенничества больше не следует за технологиями — она опережает их. В разгар цифрового дарвинизма выживает тот, кто умеет адаптироваться быстрее противника. В выпуске подкаста «Антифрод», снятого в рамках ВИПФОРУМ, руководитель департамента F6 Fraud Protection Дмитрий Ермаков разбирает, как изменился ландшафт угроз за последнее время. Смотрите на любой удобной платформе ⬇️ 📺 VK Видео 📺 YouTube 📺 RuTube А 11 декабря Дмитрий и команда F6 ждут вас на форуме «Антифрод Россия», где продолжат разговор о защите от мошенничества будущего. 📍 На собственном стенде мы расскажем о современных технологиях защиты от мошенничества, инструментах анализа и актуальных кейсах противодействия фроду. Поделимся практическими решениями, которых сейчас не хватает бизнесу, и покажем реальные сценарии противодействия атакам. А также разыграем классный мерч 😎 До встречи 11 декабря ❤️

😧 «Такого нет ни у кого»: F6 зафиксировала новую схему против таксиcтов и курьеров. Аналитики Digital Risk Protection F6 обнаружили, что под видом условно полезных приложений для автомобилистов злоумышленники распространяют троян удаленного доступа (RAT). Схема против водителей такси и доставки ⬇️ В названии программы используются слова «радар» и «кэф» — это маскировка под приложение, отображающее коэффициент спроса. Мошенники обещают пользователям информацию в любом районе по любому тарифу, а также демонстрацию «точки Б» и стоимости поездки. «Такого нет ни у кого», — так злоумышленники рекламируют приложение. ⚙️ После установки вредоносная программа запрашивает разрешение на оптимизацию батареи и доступ к push-уведомлениям, права на чтение и отправку SMS, чтение информации о состоянии устройства и выполнение вызовов. После этого под предлогом «бесплатной подписки» предлагается ввести данные карты. Схема против обычных автомобилистов ⬇️ Приложение содержит в названии слова «ДПС» и «радар». Оно тоже «уникально» и «не имеет аналогов в мире». Реклама утверждает, что программа предупреждает о постах ДПС и камерах фиксации нарушений ПДД, пробках, авариях и дорожных работах. ⚙️ Пользователям, которые установят программу в течение 72 часов, обещают перевести на банковскую карту 1000 руб. Чтобы привлечь внимание пользователей, злоумышленники обещают 90 дней «бесплатной VIP-подписки». Схемы работают как минимум с 14 октября 2025 года. Средняя сумма, похищенная у пользователей, — 11,2 тыс. руб. 😉 Борьба с киберпреступностью

«Обученный» вредонос: аналитики F6 выявили использование LLM в атаке с PureCrypter и DarkTrack RAT. Искусственный интеллект всё больше интегрируется в нашу жизнь и облегчает многие задачи. Но, к сожалению, его также используют и киберпреступники. 21 ноября в ходе ежедневного мониторинга специалисты F6 Threat Intelligence обнаружили вредоносный архив «Изделие-44 ДСП.rar», загруженный в публичную песочницу. И вот что экспертам показалось необычным ⬇️ ⚙️ Запуск входящего в него HTA-файла инициировал цепочку: HTA-загрузчик → EXE-инжектор → финальная нагрузка DarkTrack RAT. В ходе анализа специалисты обратили внимание на простоту кода, его форматирование, подробное комментирование и отсутствие грамматических ошибок в комментариях. Эти признаки позволяют предположить, что злоумышленники использовали LLM при разработке ВПО. ➡️ Анализ ВПО на Malware Detonation Platform F6 Также специалисты выявили вредоносный VBA-скрипт с идентичной цепочкой заражения, что говорит о параллельных векторах распространения. Данный случай показывает: злоумышленники используют ИИ как для написания вредоносного кода, способного работать самостоятельно, так и в комбинации с ранее известными угрозами. Число атак с применением ИИ, предположительно, будет расти. ➡️ Детали атаки и индикаторы компрометации — подробно описали в блоге.

Миллиард под присмотром 😎 Главный розыгрыш года в «Русском лото» по традиции проконтролируют эксперты F6. 👀 Пока россияне запасаются лотерейными билетами и ждут новогоднего чуда, специалисты F6 будут следить за тем, чтобы в розыгрыше «Новогоднего миллиарда» приняли участие только проданные на новогодний тираж билеты с зарегистрированными игровыми комбинациями.

Павел Зевахин, специалист по реагированию на инциденты и цифровой криминалистике F6: Специалисты Лаборатории компьютерной криминалистики F6 проведут сверку базы проданных билетов на 1707-й тираж «Русского лото» c базой, которая будет участвовать в розыгрыше. Это необходимо, чтобы удостовериться в отсутствии появления в базе дополнительных билетов после окончания продаж или даже после проведения розыгрыша. По итогам проверки наши эксперты подтвердят или опровергнут полное совпадение и целостность баз билетов до и после розыгрыша «Новогоднего миллиарда», а также наличие в них билетов, ставших выигрышными и выбранных для проверки случайным образом после формирования выигрышной комбинации.

Розыгрыш состоится 1 января 2026 года. Всего разыграют более 3 млрд руб. 💜 — если хотели бы получить от Деда Мороза 1 млрд

📢 «Не прислушиваться к советам — одна из негативных черт бизнеса, считающего ИБ лишней тратой». Интервью Клавдия Лаптёнка из «А1» — об обучении в F6. «А1» — один из ведущих телеком-операторов белорусского рынка. В 2024 году компания открыла собственный Центр кибербезопасности, предлагая клиентам комплексные решения по предотвращению, обнаружению и реагированию на угрозы. Руководитель по развитию бизнеса информационной безопасности «А1» Клавдий Лаптёнок прошел обучение от F6 — пятидневный курс «Компьютерная криминалистика и реагирование на инциденты в ОС Windows». В видеоинтервью он рассказал об актуальных киберугрозах, новых трендах в кибербезе, а также о пользе курсов F6 для топ-менеджеров. Смотрите на любой удобной платформе ⬇️ 📺 VK Видео 📺 YouTube 📺 RuTube

Ничего странного 👀 Сериал «Очень странные дела» стал лидером по количеству пиратских копий в ноябре. По итогам прошедшего месяца в топе сплошь громкие названия. Осенние хиты зарубежных и российских стримингов, а также кинопроката — в новом рейтинге. Топ-5 копируемых фильмов ⬇️ 1️⃣ «Франкенштейн» 2️⃣ «Хищник: Планета смерти» 3️⃣ «Битва за битвой» 4️⃣ «Баллада о маленьком игроке» 5️⃣ «Везунчики» Топ-5 копируемых сериалов ⬇️ 1️⃣ «Очень странные дела» 2️⃣ «Ведьмак» 3️⃣ «Одна из многих» 4️⃣ «Берлинская жара» 5️⃣ «Лихие» Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов и сериалов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце. 😉 Борьба с киберпреступностью

От нейтрализации атак к их предотвращению 😎Опубликовали статью в рамках спецпроекта SOC+SOAR в новом номере журнала «Information Security» (№5, ноябрь 2025). Ярослав Каргалев, руководитель Центра кибербезопасности F6, объясняет, как эволюционирует MDR (Managed Detection and Response). Хайлайты статьи ⬇️ ▪️ Эволюция MDR: от наблюдения к активной обороне. ▪️ ShiftLeft через интеграцию MDR и ASM. ▪️ Почему старый подход больше не работает? ▪️ Какую задачу решает непрерывный мониторинг внешнего периметра? ▪️ Таргетированный Threat Hunting и оценка компрометации. ▪️ Показательный кейс: 0-day в Microsoft SharePoint. ▪️ Перспективы: новый стандарт для рынка MDR. ➡️ Читайте в журнале «Information Security»

Android-троян маскируют под расширенные и «18+» версии приложений YouTube и TikTok. F6 зафиксировала новый сценарий распространения вредоносных мобильных приложений для кражи банковских данных. ▪️ Злоумышленники создали сеть вредоносных сайтов, маскирующихся под бренды зарубежных видеохостингов. ▪️ Сайты рекламируют вредоносные приложения, обещая пользователям «бесплатно» просмотр видео даже с плохим интернетом и без рекламы, доступ к заблокированному контенту, скачивание в 4К для просмотра офлайн и фоновый режим для прослушивания контента. ▪️ Чтобы получить эти расширенные возможности, пользователям предлагают скачать APK-файл. Вредоносные мобильные приложения продвигают под следующими названиями: TikTok 18+; YouTube Max; YouTube Boost; YouTube Mega; YouTube Ultra; YouTube Plus; YouTube Ultima Edition; YouTube Pro; YouTube Advanced; Ютуб-Плюс. ‼️ Приложение способно читать и отправлять сообщения, совершать звонки, собирать информацию о контактах и приложениях, получать сетевые данные, запускаться автоматически, отображать элементы интерфейса поверх других окон. Это дает возможность злоумышленникам следить за действиями на устройстве, скрытно передавать данные и выполнять действия от имени пользователя. С начала октября 2025 года аналитики F6 обнаружили 30+ доменов, которые использовались для распространения этого Android-трояна. Все они уже заблокированы.