«Взломай меня, если сможешь!» — на ближайшем вебинаре обсудим NFCGate, SpyNote и атаки с использованием социальной инженерии 😎

▪️ Когда? 13 марта 2025, 11:00–13:00

▪️ Кто? Максим Савинов, антифрод-аналитик F6

▪️ О чем? Об актуальных техниках атак на онлайн-сервисы с использованием ВПО.

Ответим на все вопросы участников, разберем свежие кейсы, проясним детали — уже через 3️⃣ дня.

💚 ЗАРЕГИСТРИРОВАТЬСЯ

📢 Ищешь вещь. Уверен, что она лежит где-то рядом, но обнаруживаешь ее совсем в другом месте. Знакомо? Нам в кибербезе тоже!

Андрей Кравцов, специалист по реагированию на инциденты и цифровой криминалистике компании F6, рассказал о поиске временных меток в файле с расширением DOCX и поделился способом решения подобной задачи на примере воссозданной ситуации в виртуальной машине.

👀 Дано: в ходе ревизии финансово-экономической деятельности компании обнаружили несоответствие в документации сотрудника. Должностная инструкция существовала в двух версиях, одна из них — с незаконными положениями. Требовалось установить дату и время последнего изменения файла и даты последней печати.

🔍 Ход расследования: на изучение эксперту F6 поступил системный блок, на котором найденные документы создавали, редактировали и выводили на печать. Создав криминалистическую копию накопителя на жестких магнитных дисках (НЖМД), специалист приступил к анализу хранящейся в памяти информации.

❓Какую тактику исследования выбрал Андрей Кравцов, какие зацепки оказались ключевыми и что удалось обнаружить? Во всех подробностях рассказываем в блоге. Читать обязательно!

Есть план, и мы его придерживаемся 😎 Эксперт F6 обсудит с коллегами план реагирования на инциденты в эфире AM Live.

Завтра, 12 марта, Александр Симонян, руководитель департамента технологического сопровождения проектов F6, примет участие в дискуссии «Реагирование на инциденты в информационной безопасности: процессы и люди».

Из чего состоит процесс реагирования, как подготовить к нему сотрудников и что ни в коем случае нельзя делать при наступлении инцидента — об этом и многом другом в эфире AM Live завтра в 11:00. Stay tuned!

🔊 Зарегистрироваться и смотреть эфир

В темной-темной квартире темной-темной ночью ребенок подходит к спящему родителю и… прикладывает его палец к телефону, позволяя мошенникам украсить все деньги.

Это не ночной кошмар, это реальность — и новая схема телефонного мошенничества.

▪️Злоумышленники задействуют детей для кражи денег со счетов родителей, выяснили специалисты F6. В феврале 2025-го аналитики зафиксировали около 600 таких случаев — в пять раз больше, чем в декабре 2024-го. Средняя сумма ущерба от подобных преступлений — 80 тыс. рублей.

Как всё происходит?
Чаще всего мошенники знакомятся с детьми в игровых чатах на платформах Minecraft и Roblox. Чтобы заставить ребенка пойти на контакт, преступники могут запугивать его и шантажировать. Излюбленная уловка — убедить, что родителям грозит обвинение в пособничестве террористам, а единственный способ их спасти — выполнить определённые инструкции.

Финальный аккорд происходит ночью: мошенники звонят детям от лица службы доставки или под другим предлогом с просьбой назвать код. Если для входа в приложение банка нужны биометрические данные — мошенники просят приложить палец спящего родителя. Во всех случаях мошенники под разными предлогами уговаривают детей молчать и ничего не сообщать маме или папе.

Все детали этой схемы описали в релизе.

👀 Любопытное совпадение: 8 марта, за пару дней до мощной DDoS-атаки на платформу X (бывший Twitter) и заявлений Илона Маска о причастности к ней Украины, внезапно обнулился телеграм-канал украинских хактивистов — Cybersec’s.

Напомним, Cybersec’s — хактивистская группа, атакующая российские компании и организации с целью саботажа и диверсий. Основатель группировки — злоумышленник под псевдонимом BadB, в прошлом — один из создателей известной кардинговой площадки CarderPlanet.

▪️ Группа проводит DDoS-атаки, компрометацию инфраструктуры, публикацию скомпрометированных данных, атаки через подрядчиков. Для DDoS-атак группировка использует собственный инструмент — «Gorgon stress», который до сих пор доступен для скачивания на сайте группировки в Tor.

▪️ С конца 2024 года злоумышленники также совершают атаки с использованием шифровальщиков. Аналитики F6 отмечали вероятную связь атакующего с группировкой двойного назначения Shadow с 2023 года: некоторые из компаний были зашифрованы этой группой, а скомпрометированные данные впоследствии опубликованы в источниках, связанных с Cybersec’s.

▪️ Группировка CyberSec’s также активно занималась саботажем. Излюбленная тактика атакующих — публикация скомпрометированных данных атакованных компаний и призывы использовать эти данные для совершения дальнейших атак через подрядчиков.

Подробнее про CyberSec’s — в отчете F6 «Киберугрозы в России и СНГ».

😧 Персидские вымогатели атакуют! Публикуем экспертное исследование о новом кибермонстре с Востока.

Многие программы-вымогатели изначально были связаны с носителями персидского языка, отсюда и название — персидские шифровальщики. Их авторы, как на восточном базаре, стараются удивить всех своими уникальными творениями.

‼️В середине февраля была выявлена первая персидская программа-вымогатель PE32, разработанная на языке программирования Rust с использованием стандарта постквантовой криптографии. В ней реализована одна из самых сложных схем шифрования.

❗️Экспертов F6 беспокоит увеличение числа восточных группировок и их качественный рост. В новом исследовании Андрей Жданов, главный специалист по анализу вредоносного кода и проактивному поиску угроз, рассказал про восточные группировки вымогателей, связи между ними, а также поделился результатами разбора новой программы-шифровальщика PE32.

ЧИТАТЬ ИССЛЕДОВАНИЕ В БЛОГЕ 😉

Аудиодипфейки знаменитостей озолотили мошенников. За неделю подписчики потеряли 5,8 млн руб., якобы участвуя в конкурсе от звезды.

В запрещенной соцсети с картинками началась новая волна угона аккаунтов. Ее особенности — вымогательство денег за выкуп странички и использование дипфейка со звездой.

Кейс 1️⃣
8 марта от лица певицы Ханны мошенники опубликовали пост с анонсом конкурса, в котором «повезет всем». Подписчиков заманивали на сайт, предполагающий многоступенчатый сценарий предлогов к переводу денег. Сначала для якобы получения выигрыша необходимо заплатить пошлину — 9360 руб. После этого возникают новые предлоги — пошлина за обработку электронного заявления, комиссия за быстрый перевод и др.

Певица сообщила, что мошенники просят выкуп — $50 тыс., а также угрожают взломать ее канал в Telegram и страницу ВКонтакте.

Кейс 2️⃣
Сегодня, 12 марта, в аккаунте Дмитрия Журавлева появилось видео с закадровым голосом шоумена. Он объявляет о запуске нового проекта и приглашает подписчиков участвовать. Голос практически не отличим от реального, что сделало информацию в ролике достоверной в глазах пользователей.

〰️Эксперты 🙃 изучили мошеннические ссылки и выяснили, что их используют сразу в нескольких партнерских программах. С 6 по 12 марта через эти ресурсы мошенники похитили 5 млн 871 тыс. руб. (1608 платежей).

〰️Только сегодня, 12 марта, по данным на 17:00, злоумышленники похитили более 540 тыс. рублей (600+ платежей).

Евгений Егоров, ведущий аналитик Digital Risk Protection F6:

Медийные личности для киберпреступников — очень привлекательный вектор атак: через их аккаунты охват распространяемых мошеннических ссылок куда больше. Злоумышленники все чаще используют аудио- и видеодипфейки, поэтому стоит критически относиться к информации, которую вы получаете даже от знакомых людей. Современные инструменты подделки голоса достаточно хороши, отличить дипфейк от оригинала на слух — трудная задача.

😉 Борьба с киберпреступностью

Митап откроет постоянный резидент CyberCamp, автор заданий и просто наш кент друг Влад Азерский из F6 🤝

При расследовании инцидентов ИБ критически важно понимать, где искать необходимые данные и как верно их интерпретировать. Поэтому в качестве ключевого инструмента для расследования выступает цифровая криминалистика — она помогает специалисту восстановить хронологию действий злоумышленника в исследуемых системах.

В своем докладе Влад проведет реконструкцию инцидента ИБ, в котором были затронуты различные системы: от привычной всем ОС Windows до сторонних веб-систем с их невиданными журналами.

А все зарегистрированные участники киберучений попытаются самостоятельно разобраться в этом инциденте ИБ уже завтра, когда откроется первое задание. Будет сложно, но интересно 😈

Другие выступления Влада на CyberCamp:
⏩ про форензику оперативной памяти
⏩про использование RDP злоумышленниками и Red Team

Телеграм-канал Влада про DFIR:
⏩Garden Detective

Обсудить митап 14 марта и задать вопросы спикеру:
⏩чат комьюнити CyberCamp 👨‍💻

ВПО PhotoAndroidMalware: где распространяется и как работает.

Один из трендов киберпреступности в 2024-м — всплеск атак на пользователей Android. Их объединяет маскировка ВПО под легитимные приложения. Одно из таких ВПО типа RAT — PhotoAndroidMalware, появившееся в 2024 году.

▪️ Задача PhotoAndroidMalware — украсть данные и получить возможность обрабатывать SMS, уведомления, а также выполнять денежные переводы.

▪️ Массовое распространение происходит в Telegram под видом фотографий.

▪️ Функциональные возможности ВПО:
— эксфильтрация SMS;
— эксфильтрация и сокрытие push-уведомлений;
— отправка SMS (может также использоваться для выполнения команд на номер 900);
— эксфильтрация информации об устройстве (номера телефонов, модель сборки, SDK устройства);
— отображение произвольных URL-ссылок через WebView.

▪️ Преступников, использующих PhotoAndroidMalware, интересуют следующие данные:

— SMS с номеров ведущих банков;
— PIN-код от DC Wallet;
— Koronapay-переводы;
— подтверждение платежей в случае, если SMS было отправлено с номера нескольких мобильных операторов.

⤵️ Больше о киберпреступлениях и киберугрозах — читайте в нашем отчете.

Скамеры заработали 10 млн руб. на фейк-свиданиях в минувшие праздники.

❤️ Мошенники под видом привлекательной девушки знакомились с жертвой в соцсетях, на сайтах знакомств или чат-ботах в Telegram. В переписке предлагали сходить в в кино, театр или на стендап, а для покупки билетов отправляли ссылку на фишинговый сайт или на скачивание вредоносного приложения.

❤️ За 14 февраля, 23 февраля и 8 марта злоумышленники заработали 9,8 млн руб. — это вдвое больше, чем год назад. Самым прибыльным праздником стал День всех влюбленных — он принес мошенникам 4 млн руб.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Мы видим тренд на снижение числа мошеннических групп, использующих схему с фейковыми свиданиями. Мы зафиксировали активность четырех группировок, год назад их было пять, два года назад — семь. Несмотря на это доходы мошенников по схеме Fake Date растут — организаторам удается привлекать все больше участников, от которых мошенничество не требует больших знаний и технических навыков.

😉 Борьба с киберпреступностью

📢 Как работает киберразведка и киберразведчики? Встречайте новый подкаст F6 «Шестой отдел» о реальной борьбе с киберпреступностью.

Несмотря на то, что у компании совсем свежий бренд, наша команда уже более 20 лет расследует и исследует компьютерную преступность. Всё самое интересное расскажем в новом подкасте 🎙

На съемки первого выпуска ведущий Евгений Чунихин пригласил авторов годового отчета F6 «Киберпреступность в России и СНГ» — Елену Шамшину, руководителя департамента Threat Intelligence, и Алену Шандер, ведущего аналитика отдела исследования сложных угроз Threat Intelligence.

Хайлайты выпуска:

▪️ Как работает киберразведка и киберразведчики?
▪️ Чего стоит бояться российскому бизнесу и пользователям?
▪️ Как киберразведчики внедряются в преступные группы?
▪️ На чем могут посыпаться хакеры?
▪️ Какие инструменты помогают отслеживать активность преступных групп?

Отличный вариант для просмотра сегодня вечером 😎

➡️ СМОТРЕТЬ НА RUTUBE
➡️ СМОТРЕТЬ В VK ВИДЕО

Более 5️⃣0️⃣0️⃣ атак с использованием шифровальщиков зафиксировали специалисты F6 по итогам 2024-го. Рост почти в полтора раза год к году, а прогнозы неутешительные.

Чтобы каждый мог узнать больше о реагировании на атаки шифровальщиков и защитить свой бизнес, мы запустили новый курс-интенсив «Исследование атак шифровальщиков».

❗️Запись уже открыта!

Когда: 25—27 марта 2025 г.
Кто: Михаил Николаев, старший тренер по компьютерной криминалистике.
Зачем: чтобы использовать методы криминалистики хоста для реагирования на атаки, определять тактики, техники и процедуры (TTP), используемые атакующими, осуществлять меры противодействия атакам операторов-шифровальщиков.
Для кого: ИБ-специалисты, технические специалисты с опытом в ИБ, специалисты по реагированию на инциденты.

Делитесь информацией о новом курсе с теми, кому он актуален ❤️

❗️ Telemancon: новая APT-группировка, которая атакует промышленные организации.

В феврале 2025 года специалисты F6 обнаружили ранее неизвестную прогосударственную группировку, которой присвоили имя Telemancon. Самая ранняя активность группы датируется февралем 2023 года.

Telemancon атаковала российские организации в сфере промышленности, в частности — машиностроение. Группа использует самописный дроппер и бэкдор — TMCDropper и TMCShell.

➡️ Если вам интересно, почему для Telemancon выбрали такое название — рассказываем. Оно родилось из уникальных черт группировки:

▪️ «tele» — используемое ВПО TMCShell подключается к сервису telegra[.]ph для получения адресов C2;
▪️«man» — от «manufactory», учитывая нацеленность группы на промышленность;
▪️«con» — поскольку нагрузка во всех раскрытых на текущий день атаках сохраняется в папку %userprofile%\Contacts\.

Подробности — в новом блоге F6

😉 Борьба с киберпреступностью

Фейк-вакансии + угон Tg-аккаунта + фейк-опрос с трояном = новая комбо-схема мошенничества. Под угрозой — ищущие работу россияне и их контакты.

Вот какую комбинацию инструментов злоумышленники собрали на этот раз.

Этап 1️⃣
Мошенники размещают на популярных площадках объявления о поиске сотрудников с высокой зарплатой, должность — от курьера до топ-менеджера. Соискателю присылают ссылку для заполнения резюме. Чтобы его отправить, нужно авторизоваться в Telegram. Когда пользователь укажет номер телефона и отправит код подтверждения, злоумышленники получат доступ к аккаунту.

Этап 2️⃣
Сразу после угона полный список контактов жертвы получает сообщение от имени «Единой России» с предложением за 5000 руб. пройти опрос. Такой заход зафиксирован впервые.

Этап 3️⃣
Для прохождения фейк-опроса нужно скачать фейк-приложение — с Android-трояном.

‼️С 20 февраля по 15 марта от этой комбо-схемы пострадали 770 пользователей — у них похитили почти ₽6 млн.

‼️Специалисты F6 направили на блокировку данные веб-ресурсов, которые используют мошенники, и предупредили представителей партии об угрозе. Сейчас ресурсы заблокированы.

😉 Борьба с киберпреступностью

👀 Секретное оружие от F6! Оно способно изменить ход криминалистического расследования или реагирования на инцидент — мы про анализ вредоносного кода. С ним и с реагированием на инциденты в ИБ в целом будем разбираться на практических курсах в апреле.

Вносите в план ⬇️

Реагирование на инциденты ИБ

Когда: 9–11 апреля.
Зачем: чтобы эффективно реагировать на выявленный инцидент и ликвидировать его последствия.
Для кого: для энтузиастов в области реагирования на инциденты, ИБ-специалистов, сотрудников SOC/CERT.
Ключевые темы:
〰️Cyber kill-chain и модели MITRE ATT&CK.
〰️Процесс реагирования на инцидент.
〰️Важнейшие источники доказательств.
〰️Методы сбора данных.
〰️Артефакты Windows и Linux для реагирования на инциденты.

Анализ вредоносного ПО

Когда: 15 апреля – 13 мая.
Зачем: чтобы анализировать ВПО, обнаруженное в ходе реагирования на инциденты или криминалистического анализа зараженных объектов.
Для кого: для специалистов по реагированию на инциденты ИБ, специалистов по компьютерной криминалистике, аналитиков SOC/CERT.
Ключевые темы:
〰️Теория анализа вредоносного кода.
〰️PE-формат исполняемых файлов и Windows API.
〰️Язык ассемблера для анализа ВПО.
〰️Чтение исполняемого кода и WinAPI.
〰️Введение в статический и динамический анализ.
〰️Анализ вредоносного кода с помощью песочниц.
〰️Обезвреживание вредоносного кода на виртуальных машинах.
〰️Реверс-инжиниринг.
〰️Работа с IDA Pro.

🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте education@f6.ru.

Делитесь информацией с теми, кому актуально ❤️

Даже один инцидент — например, скам-ресурсы с использованием интеллектуальной собственности или распространение фишинговых ссылок от лица бренда, — могут стоить репутации, денег и доверия клиентов. Рассказываем, как защититься от цифровых угроз с помощью нашего «щита» — решения Digital Risk Protection.

Что это такое?
DRP выявляет, предотвращает и реагирует на нарушения, связанные с цифровыми активами компании. Решение помогает организациям защищаться от цифровых угроз — онлайн-мошенничества, фишинга, пиратского контента и неправомерного использования товарного знака. Оно работает как персональный «щит».

Почему использовать DRP действительно важно?
1️⃣Угрозы эволюционируют. Мошенники становятся изощреннее, используя все каналы взаимодействия с пользователем: соцсети, мессенджеры, приложения и др.

2️⃣Время на реакцию критично. Чем дольше вы не замечаете угрозу, тем больший урон она наносит. DRP работает проактивно, анализируя онлайн-пространство в режиме реального времени.

3️⃣Защита бренда. Огромное количество цифровых угроз негативно влияет на репутацию, а это актив, который сложно восстановить после повреждения. Игнорирование угроз приводит к непоправимым последствиям — киберпреступления от имени бренда или утечка данных серьезно подорвут доверие клиентов.

❗️ Digital Risk Protection предоставляет инструменты для мониторинга и предотвращения киберугроз. Это позволяет компаниям не только сохранить трафик и доходы, но и избежать репутационных потерь и издержек, связанных с юридическими разбирательствами. Инвестируя в такие технологии, компании укрепляют позиции на рынке, демонстрируя заботу о клиентах и их данных.

➡️ ПОЛУЧИТЬ БЕСПЛАТНЫЙ ПИЛОТ

❗️ Число атак IT Army of Ukraine на российские регионы за год снова выросло. Причины — слабый уровень защиты ресурсов и высокий PR-потенциал.

По данным экспертов департамента киберразведки F6, в 2024 году количество DDoS-атак в целом увеличилось минимум на 50% — как по количеству, так и по числу задействованных в ботнетах устройств.

Лидер по атакам — группировка IT Army of Ukraine. Она активизировалась еще в феврале 2022-го, и с тех пор не сбавляет обороты. Тренд последнего года — расширение географии их атак. С весны 2024-го F6 фиксирует рост количества атак на региональные телеком-операторы. От киберпреступлений особенно страдают приграничные области — Курская и Белгородская.

Елена Шамшина, технический руководитель департамента Threat Intelligence F6:

С одной стороны, причина в том, что региональные компании сравнительно просто атаковать — многие до начала СВО не задумывались о серьезной киберзащите.

С другой стороны, речь про PR-эффект: инциденты, когда большое количество жителей региона остаются без интернета, привлекают больше внимания, и злоумышленники пишут о том, какую мощную атаку они провели.

Вот какие данные за 2024 год предоставили поставщики решений по защите от DDoS:

▪️ 72+ часа длилась самая продолжительная из отраженных DDoS-атак.
▪️ Максимальные мощности зафиксированных атак были в сегментах онлайн-букмекеров (446 Гбит/c), банков (316 Гбит/c), хостинговых платформ (313 Гбит/c), платежных систем (300 Гбит/c)
▪️ На 53% увеличилось число атак год к году.

👀 По прогнозам — геополитическое киберпротивостояние продолжится, мощности проводимых атак будут увеличиваться. Под угрозой — ресурсы всех отраслей экономики.

😉 Борьба с киберпреступностью