👀 Любопытное совпадение: 8 марта, за пару дней до мощной DDoS-атаки на платформу X (бывший Twitter) и заявлений Илона Маска о причастности к ней Украины, внезапно обнулился телеграм-канал украинских хактивистов — Cybersec’s.

Напомним, Cybersec’s — хактивистская группа, атакующая российские компании и организации с целью саботажа и диверсий. Основатель группировки — злоумышленник под псевдонимом BadB, в прошлом — один из создателей известной кардинговой площадки CarderPlanet.

▪️ Группа проводит DDoS-атаки, компрометацию инфраструктуры, публикацию скомпрометированных данных, атаки через подрядчиков. Для DDoS-атак группировка использует собственный инструмент — «Gorgon stress», который до сих пор доступен для скачивания на сайте группировки в Tor.

▪️ С конца 2024 года злоумышленники также совершают атаки с использованием шифровальщиков. Аналитики F6 отмечали вероятную связь атакующего с группировкой двойного назначения Shadow с 2023 года: некоторые из компаний были зашифрованы этой группой, а скомпрометированные данные впоследствии опубликованы в источниках, связанных с Cybersec’s.

▪️ Группировка CyberSec’s также активно занималась саботажем. Излюбленная тактика атакующих — публикация скомпрометированных данных атакованных компаний и призывы использовать эти данные для совершения дальнейших атак через подрядчиков.

Подробнее про CyberSec’s — в отчете F6 «Киберугрозы в России и СНГ».

😧 Персидские вымогатели атакуют! Публикуем экспертное исследование о новом кибермонстре с Востока.

Многие программы-вымогатели изначально были связаны с носителями персидского языка, отсюда и название — персидские шифровальщики. Их авторы, как на восточном базаре, стараются удивить всех своими уникальными творениями.

‼️В середине февраля была выявлена первая персидская программа-вымогатель PE32, разработанная на языке программирования Rust с использованием стандарта постквантовой криптографии. В ней реализована одна из самых сложных схем шифрования.

❗️Экспертов F6 беспокоит увеличение числа восточных группировок и их качественный рост. В новом исследовании Андрей Жданов, главный специалист по анализу вредоносного кода и проактивному поиску угроз, рассказал про восточные группировки вымогателей, связи между ними, а также поделился результатами разбора новой программы-шифровальщика PE32.

ЧИТАТЬ ИССЛЕДОВАНИЕ В БЛОГЕ 😉

Аудиодипфейки знаменитостей озолотили мошенников. За неделю подписчики потеряли 5,8 млн руб., якобы участвуя в конкурсе от звезды.

В запрещенной соцсети с картинками началась новая волна угона аккаунтов. Ее особенности — вымогательство денег за выкуп странички и использование дипфейка со звездой.

Кейс 1️⃣
8 марта от лица певицы Ханны мошенники опубликовали пост с анонсом конкурса, в котором «повезет всем». Подписчиков заманивали на сайт, предполагающий многоступенчатый сценарий предлогов к переводу денег. Сначала для якобы получения выигрыша необходимо заплатить пошлину — 9360 руб. После этого возникают новые предлоги — пошлина за обработку электронного заявления, комиссия за быстрый перевод и др.

Певица сообщила, что мошенники просят выкуп — $50 тыс., а также угрожают взломать ее канал в Telegram и страницу ВКонтакте.

Кейс 2️⃣
Сегодня, 12 марта, в аккаунте Дмитрия Журавлева появилось видео с закадровым голосом шоумена. Он объявляет о запуске нового проекта и приглашает подписчиков участвовать. Голос практически не отличим от реального, что сделало информацию в ролике достоверной в глазах пользователей.

〰️Эксперты 🙃 изучили мошеннические ссылки и выяснили, что их используют сразу в нескольких партнерских программах. С 6 по 12 марта через эти ресурсы мошенники похитили 5 млн 871 тыс. руб. (1608 платежей).

〰️Только сегодня, 12 марта, по данным на 17:00, злоумышленники похитили более 540 тыс. рублей (600+ платежей).

Евгений Егоров, ведущий аналитик Digital Risk Protection F6:

Медийные личности для киберпреступников — очень привлекательный вектор атак: через их аккаунты охват распространяемых мошеннических ссылок куда больше. Злоумышленники все чаще используют аудио- и видеодипфейки, поэтому стоит критически относиться к информации, которую вы получаете даже от знакомых людей. Современные инструменты подделки голоса достаточно хороши, отличить дипфейк от оригинала на слух — трудная задача.

😉 Борьба с киберпреступностью

Митап откроет постоянный резидент CyberCamp, автор заданий и просто наш кент друг Влад Азерский из F6 🤝

При расследовании инцидентов ИБ критически важно понимать, где искать необходимые данные и как верно их интерпретировать. Поэтому в качестве ключевого инструмента для расследования выступает цифровая криминалистика — она помогает специалисту восстановить хронологию действий злоумышленника в исследуемых системах.

В своем докладе Влад проведет реконструкцию инцидента ИБ, в котором были затронуты различные системы: от привычной всем ОС Windows до сторонних веб-систем с их невиданными журналами.

А все зарегистрированные участники киберучений попытаются самостоятельно разобраться в этом инциденте ИБ уже завтра, когда откроется первое задание. Будет сложно, но интересно 😈

Другие выступления Влада на CyberCamp:
⏩ про форензику оперативной памяти
⏩про использование RDP злоумышленниками и Red Team

Телеграм-канал Влада про DFIR:
⏩Garden Detective

Обсудить митап 14 марта и задать вопросы спикеру:
⏩чат комьюнити CyberCamp 👨‍💻

ВПО PhotoAndroidMalware: где распространяется и как работает.

Один из трендов киберпреступности в 2024-м — всплеск атак на пользователей Android. Их объединяет маскировка ВПО под легитимные приложения. Одно из таких ВПО типа RAT — PhotoAndroidMalware, появившееся в 2024 году.

▪️ Задача PhotoAndroidMalware — украсть данные и получить возможность обрабатывать SMS, уведомления, а также выполнять денежные переводы.

▪️ Массовое распространение происходит в Telegram под видом фотографий.

▪️ Функциональные возможности ВПО:
— эксфильтрация SMS;
— эксфильтрация и сокрытие push-уведомлений;
— отправка SMS (может также использоваться для выполнения команд на номер 900);
— эксфильтрация информации об устройстве (номера телефонов, модель сборки, SDK устройства);
— отображение произвольных URL-ссылок через WebView.

▪️ Преступников, использующих PhotoAndroidMalware, интересуют следующие данные:

— SMS с номеров ведущих банков;
— PIN-код от DC Wallet;
— Koronapay-переводы;
— подтверждение платежей в случае, если SMS было отправлено с номера нескольких мобильных операторов.

⤵️ Больше о киберпреступлениях и киберугрозах — читайте в нашем отчете.

Скамеры заработали 10 млн руб. на фейк-свиданиях в минувшие праздники.

❤️ Мошенники под видом привлекательной девушки знакомились с жертвой в соцсетях, на сайтах знакомств или чат-ботах в Telegram. В переписке предлагали сходить в в кино, театр или на стендап, а для покупки билетов отправляли ссылку на фишинговый сайт или на скачивание вредоносного приложения.

❤️ За 14 февраля, 23 февраля и 8 марта злоумышленники заработали 9,8 млн руб. — это вдвое больше, чем год назад. Самым прибыльным праздником стал День всех влюбленных — он принес мошенникам 4 млн руб.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Мы видим тренд на снижение числа мошеннических групп, использующих схему с фейковыми свиданиями. Мы зафиксировали активность четырех группировок, год назад их было пять, два года назад — семь. Несмотря на это доходы мошенников по схеме Fake Date растут — организаторам удается привлекать все больше участников, от которых мошенничество не требует больших знаний и технических навыков.

😉 Борьба с киберпреступностью

📢 Как работает киберразведка и киберразведчики? Встречайте новый подкаст F6 «Шестой отдел» о реальной борьбе с киберпреступностью.

Несмотря на то, что у компании совсем свежий бренд, наша команда уже более 20 лет расследует и исследует компьютерную преступность. Всё самое интересное расскажем в новом подкасте 🎙

На съемки первого выпуска ведущий Евгений Чунихин пригласил авторов годового отчета F6 «Киберпреступность в России и СНГ» — Елену Шамшину, руководителя департамента Threat Intelligence, и Алену Шандер, ведущего аналитика отдела исследования сложных угроз Threat Intelligence.

Хайлайты выпуска:

▪️ Как работает киберразведка и киберразведчики?
▪️ Чего стоит бояться российскому бизнесу и пользователям?
▪️ Как киберразведчики внедряются в преступные группы?
▪️ На чем могут посыпаться хакеры?
▪️ Какие инструменты помогают отслеживать активность преступных групп?

Отличный вариант для просмотра сегодня вечером 😎

➡️ СМОТРЕТЬ НА RUTUBE
➡️ СМОТРЕТЬ В VK ВИДЕО

Более 5️⃣0️⃣0️⃣ атак с использованием шифровальщиков зафиксировали специалисты F6 по итогам 2024-го. Рост почти в полтора раза год к году, а прогнозы неутешительные.

Чтобы каждый мог узнать больше о реагировании на атаки шифровальщиков и защитить свой бизнес, мы запустили новый курс-интенсив «Исследование атак шифровальщиков».

❗️Запись уже открыта!

Когда: 25—27 марта 2025 г.
Кто: Михаил Николаев, старший тренер по компьютерной криминалистике.
Зачем: чтобы использовать методы криминалистики хоста для реагирования на атаки, определять тактики, техники и процедуры (TTP), используемые атакующими, осуществлять меры противодействия атакам операторов-шифровальщиков.
Для кого: ИБ-специалисты, технические специалисты с опытом в ИБ, специалисты по реагированию на инциденты.

Делитесь информацией о новом курсе с теми, кому он актуален ❤️

❗️ Telemancon: новая APT-группировка, которая атакует промышленные организации.

В феврале 2025 года специалисты F6 обнаружили ранее неизвестную прогосударственную группировку, которой присвоили имя Telemancon. Самая ранняя активность группы датируется февралем 2023 года.

Telemancon атаковала российские организации в сфере промышленности, в частности — машиностроение. Группа использует самописный дроппер и бэкдор — TMCDropper и TMCShell.

➡️ Если вам интересно, почему для Telemancon выбрали такое название — рассказываем. Оно родилось из уникальных черт группировки:

▪️ «tele» — используемое ВПО TMCShell подключается к сервису telegra[.]ph для получения адресов C2;
▪️«man» — от «manufactory», учитывая нацеленность группы на промышленность;
▪️«con» — поскольку нагрузка во всех раскрытых на текущий день атаках сохраняется в папку %userprofile%\Contacts\.

Подробности — в новом блоге F6

😉 Борьба с киберпреступностью

Фейк-вакансии + угон Tg-аккаунта + фейк-опрос с трояном = новая комбо-схема мошенничества. Под угрозой — ищущие работу россияне и их контакты.

Вот какую комбинацию инструментов злоумышленники собрали на этот раз.

Этап 1️⃣
Мошенники размещают на популярных площадках объявления о поиске сотрудников с высокой зарплатой, должность — от курьера до топ-менеджера. Соискателю присылают ссылку для заполнения резюме. Чтобы его отправить, нужно авторизоваться в Telegram. Когда пользователь укажет номер телефона и отправит код подтверждения, злоумышленники получат доступ к аккаунту.

Этап 2️⃣
Сразу после угона полный список контактов жертвы получает сообщение от имени «Единой России» с предложением за 5000 руб. пройти опрос. Такой заход зафиксирован впервые.

Этап 3️⃣
Для прохождения фейк-опроса нужно скачать фейк-приложение — с Android-трояном.

‼️С 20 февраля по 15 марта от этой комбо-схемы пострадали 770 пользователей — у них похитили почти ₽6 млн.

‼️Специалисты F6 направили на блокировку данные веб-ресурсов, которые используют мошенники, и предупредили представителей партии об угрозе. Сейчас ресурсы заблокированы.

😉 Борьба с киберпреступностью

👀 Секретное оружие от F6! Оно способно изменить ход криминалистического расследования или реагирования на инцидент — мы про анализ вредоносного кода. С ним и с реагированием на инциденты в ИБ в целом будем разбираться на практических курсах в апреле.

Вносите в план ⬇️

Реагирование на инциденты ИБ

Когда: 9–11 апреля.
Зачем: чтобы эффективно реагировать на выявленный инцидент и ликвидировать его последствия.
Для кого: для энтузиастов в области реагирования на инциденты, ИБ-специалистов, сотрудников SOC/CERT.
Ключевые темы:
〰️Cyber kill-chain и модели MITRE ATT&CK.
〰️Процесс реагирования на инцидент.
〰️Важнейшие источники доказательств.
〰️Методы сбора данных.
〰️Артефакты Windows и Linux для реагирования на инциденты.

Анализ вредоносного ПО

Когда: 15 апреля – 13 мая.
Зачем: чтобы анализировать ВПО, обнаруженное в ходе реагирования на инциденты или криминалистического анализа зараженных объектов.
Для кого: для специалистов по реагированию на инциденты ИБ, специалистов по компьютерной криминалистике, аналитиков SOC/CERT.
Ключевые темы:
〰️Теория анализа вредоносного кода.
〰️PE-формат исполняемых файлов и Windows API.
〰️Язык ассемблера для анализа ВПО.
〰️Чтение исполняемого кода и WinAPI.
〰️Введение в статический и динамический анализ.
〰️Анализ вредоносного кода с помощью песочниц.
〰️Обезвреживание вредоносного кода на виртуальных машинах.
〰️Реверс-инжиниринг.
〰️Работа с IDA Pro.

🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте education@f6.ru.

Делитесь информацией с теми, кому актуально ❤️

Даже один инцидент — например, скам-ресурсы с использованием интеллектуальной собственности или распространение фишинговых ссылок от лица бренда, — могут стоить репутации, денег и доверия клиентов. Рассказываем, как защититься от цифровых угроз с помощью нашего «щита» — решения Digital Risk Protection.

Что это такое?
DRP выявляет, предотвращает и реагирует на нарушения, связанные с цифровыми активами компании. Решение помогает организациям защищаться от цифровых угроз — онлайн-мошенничества, фишинга, пиратского контента и неправомерного использования товарного знака. Оно работает как персональный «щит».

Почему использовать DRP действительно важно?
1️⃣Угрозы эволюционируют. Мошенники становятся изощреннее, используя все каналы взаимодействия с пользователем: соцсети, мессенджеры, приложения и др.

2️⃣Время на реакцию критично. Чем дольше вы не замечаете угрозу, тем больший урон она наносит. DRP работает проактивно, анализируя онлайн-пространство в режиме реального времени.

3️⃣Защита бренда. Огромное количество цифровых угроз негативно влияет на репутацию, а это актив, который сложно восстановить после повреждения. Игнорирование угроз приводит к непоправимым последствиям — киберпреступления от имени бренда или утечка данных серьезно подорвут доверие клиентов.

❗️ Digital Risk Protection предоставляет инструменты для мониторинга и предотвращения киберугроз. Это позволяет компаниям не только сохранить трафик и доходы, но и избежать репутационных потерь и издержек, связанных с юридическими разбирательствами. Инвестируя в такие технологии, компании укрепляют позиции на рынке, демонстрируя заботу о клиентах и их данных.

➡️ ПОЛУЧИТЬ БЕСПЛАТНЫЙ ПИЛОТ

❗️ Число атак IT Army of Ukraine на российские регионы за год снова выросло. Причины — слабый уровень защиты ресурсов и высокий PR-потенциал.

По данным экспертов департамента киберразведки F6, в 2024 году количество DDoS-атак в целом увеличилось минимум на 50% — как по количеству, так и по числу задействованных в ботнетах устройств.

Лидер по атакам — группировка IT Army of Ukraine. Она активизировалась еще в феврале 2022-го, и с тех пор не сбавляет обороты. Тренд последнего года — расширение географии их атак. С весны 2024-го F6 фиксирует рост количества атак на региональные телеком-операторы. От киберпреступлений особенно страдают приграничные области — Курская и Белгородская.

Елена Шамшина, технический руководитель департамента Threat Intelligence F6:

С одной стороны, причина в том, что региональные компании сравнительно просто атаковать — многие до начала СВО не задумывались о серьезной киберзащите.

С другой стороны, речь про PR-эффект: инциденты, когда большое количество жителей региона остаются без интернета, привлекают больше внимания, и злоумышленники пишут о том, какую мощную атаку они провели.

Вот какие данные за 2024 год предоставили поставщики решений по защите от DDoS:

▪️ 72+ часа длилась самая продолжительная из отраженных DDoS-атак.
▪️ Максимальные мощности зафиксированных атак были в сегментах онлайн-букмекеров (446 Гбит/c), банков (316 Гбит/c), хостинговых платформ (313 Гбит/c), платежных систем (300 Гбит/c)
▪️ На 53% увеличилось число атак год к году.

👀 По прогнозам — геополитическое киберпротивостояние продолжится, мощности проводимых атак будут увеличиваться. Под угрозой — ресурсы всех отраслей экономики.

😉 Борьба с киберпреступностью

Детский фрод — почему из-за него страдает бизнес и как предупредить эти угрозы. Объясняем на примерах.

Ситуация 1️⃣
Ребенок под влиянием мошенника совершает платеж без ведома родителей. Да, взрослые могут оспорить транзакцию, но даже при добровольной оплате это создает нагрузку на операционные отделы.

Что это значит для бизнеса:
〰️Рост количества возвратов и нагрузки на процессинг.
〰️Репутационные и финансовые издержки.

Ситуация 2️⃣
Дети часто сидят на игровых платформах. Через фальшивые сайты, приложения и бонусы мошенники выманивают данные или получают доступ к аккаунтам.

Что это значит для бизнеса:
〰️Увеличение числа возвратов.
〰️Снижение надежности платежной инфраструктуры.
〰️Нарушение пользовательского опыта.

Ситуация 3️⃣
Ребенок может передать доступ к аккаунту или даже стать дропом.

Что это значит для бизнеса:
〰️Нарушение требований KYC и AML.
〰️Угроза попадания в поле зрения регуляторов.
〰️Нагрузка для антифрод-отделов.

Ситуация 4️⃣
Данные несовершеннолетних используют в регистрационных и кредитных схемах.

Что это значит для бизнеса:
〰️Регистрация фрод-клиентов.
〰️Увеличение доли ошибочных заявок.
〰️Сложности с идентификацией и риски потерь.

❓👀 Как защититься:
F6 Fraud Protection анализирует поведение, устройство и цифровую среду, выявляя операции, не характерные для взрослого пользователя. Это снижает число возвратов и спорных транзакций.

Решение также профилирует пользователя по цифровому отпечатку и поведенческой модели, позволяя исключить фейковые регистрации и недостоверные заявки. Также оно выявляет мультиаккаунтинг и нетипичную активность, а фишинг и вредоносные сценарии фиксируются до момента транзакции.

➡️ Получите 1 месяц бесплатного доступа и начните тестирование F6 Fraud Protection, не дожидаясь инцидента.

Не успели посмотреть недавние эфиры AM Live с участием экспертов F6 — наша антология в помощь. Главные тезисы.

🟣 Если в компании нет своего SOC, то можно считать, что у нее нет группы реагирования. Айтишники просто помогают собрать данные по указанию ИБ-специалистов — у них другие функции, они должны заниматься своей деятельностью, считает Александр Симонян, руководитель департамента технологического сопровождения проектов F6. Компаниям, которые планируют строить SOC, стоит рассмотреть разные варианты, чтобы понять, в какую сторону двигаться. ‎Каждый из подходов, базирующихся на использовании SIEM, SOAR или XDR, имеет свои плюсы и минусы, отмечает Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз F6.

🟣 Тенденция — увеличение числа инцидентов. В последнее время больше атак на бизнес исходят от политически мотивированных группировок. Их цель — разрушение и уничтожение инфраструктуры, максимально деструктивные действия. Если расшифровать данные не удастся, компания окажется в безвыходном положении. Всегда нужно держать наготове профессионалов по реагированию на инциденты ИБ, так как поиск профильного вендора в момент инцидента займет время, что является критичным фактором.

🟣 Нужно видеть и анализировать весь ландшафт угроз, не ограничиваясь «своей» отраслью, считает Евгений Чунихин, бизнес-руководитель направления киберразведки F6. Границы классификации киберпреступных группировок размываются, цели злоумышленников могут меняться. Начать стоит с оценки поверхности атаки (Attack Surface Management), затем можно перейти к отчетам и индикаторам, далее — заняться более серьезным вооружением TI. Спрос на TI будет расти, в том числе из-за ужесточения требований регулятора.

😉 Борьба с киберпреступностью

Угроза не пройдет. Публикуем гайд по Attack Surface Management — сохраняйте!

Часто компании не осознают степень риска при наличии неучтенных публичных активов, но каждый из них — потенциальная точка входа злоумышленников. Attack Surface Management (ASM) — это систематический подход к управлению всеми этими «точками».

Неконтролируемая поверхность атак может привести к:
〰️утечкам и финансовым потерям;
〰️эксплуатации уязвимостей DNS и доменов;
〰️заражению ВПО и угрозам для электронной почты.

Усложненные инфраструктуры и широкое использование облачных решений делают компании более уязвимыми. И вот какие преимущества ASM для бизнеса мы выделяем.

💚 Прозрачность и контроль. Решение обеспечивает ясную картину инфраструктуры и ее текущего состояния, что критически важно для проактивной защиты.
💚 Экономия времени и ресурсов. Автоматизация анализа поверхности атак и устранения уязвимостей позволяет сократить трудозатраты сотрудников ИБ.
💚 Улучшение кибербезопасности. Регулярное сканирование и мониторинг снижают вероятность, что уязвимости останутся незащищенными.
💚 Снижение бизнес-рисков. Эффективное управление внешней инфраструктурой помогает минимизировать финансовые и репутационные потери, связанные с кибератаками.

Attack Surface Management предлагает комплексное управление, включая следующие функции:

⚙️ сканирование сети и доменов и идентификация уязвимостей;
⚙️ мониторинг рисков в реальном времени и их оценка;
⚙️ автоматизация процессов;
⚙️ интеграция с ИБ-командами.

Контроль поверхности атак становится обязательной практикой для современных компаний. Attack Surface Management — это не только инструмент для защиты внешней инфраструктуры, но и способ повысить общую устойчивость бизнеса к киберугрозам и защитить все активы.