Борьба с киберпреступностью | F6
@f6_cybersecurity
22K subscribers
2K photos
112 videos
3 files
2.23K links
Остросюжетный Telegram-канал компании F6 об информационной безопасности, хакерах, APT, кибератаках, мошенниках и пиратах. Расследования по шагам, практические кейсы и рекомендации, как не стать жертвой.

РКН: https://clck.ru/3FoEbm
Download Telegram
About
Blog
Apps
Platform
Join
Борьба с киберпреступностью | F6
22K subscribers
Борьба с киберпреступностью | F6
В Страстную пятницу разбираем пристрастия и грехи, которые для пользователей часто заканчиваются финансовыми потерями, а для мошенников — прибылью.

Киберпреступники играют на человеческих слабостях, но это часть нашей природы, с которой бороться тяжело. А вот с мошенниками — проще, если знать нужные инструменты.

➡️ В карточках разбираем, как классические грехи превращаются в схемы атак, и подсказываем, какие технологии F6 помогают их предотвратить.

⚡️ Попробуйте решения F6 бесплатно в течение месяца — и убедитесь, как они работают на практике.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26😁18👏12👍6544😍2
5.01K views
Борьба с киберпреступностью | F6
⚡️ Забудьте шлюпки, флотилия пиратов сейчас состоит из крейсеров и авианосцев. F6 представила рейтинг поставщиков нелегального контента.

Ключевые цифры из исследования:

▪️ CDN (Content Distribution Network) — главное хранилище и дистрибьютор пиратских фильмов, сериалов и трейлеров к ним. 12 основных CDN снабжают пиратским видеоконтентом до 90% нелегальных онлайн-кинотеатров.

▪️ Доходы российских интернет-пиратов за последние шесть лет снизились с $87 млн до $36 млн, при этом объемы распространяемого контента растут.

▪️ 12,5 млн пиратских файлов и 110 тыс. пиратских доменов были заблокированы в 2024-м.

Топ-5 самых популярных CDN у российских пиратов:
1️⃣ Alloha;
2️⃣ Rewall;
3️⃣ Lumex;
4️⃣ Kodik;
5️⃣ HDVB.

Ресурсы, входящие в инфраструктуру CDN, хостятся в Нидерландах, США, Германии, Франции и на Украине, что затрудняет их блокировку. Хотя пример ликвидации крупнейшего видеобалансера Moonwalk CDN говорит о том, что…

😑 Смекаешь?

…уязвимости существуют, с ними можно работать.
⬇️
Специалисты F6 Digital Risk Protection инициировали проверку 500 пиратских сайтов и выяснили, что 39% ресурсов небезопасны — они содержали вирусы, уязвимости или присутствия в «черных списках» антивирусных компаний и поисковиков.

СКАЧАТЬ ИССЛЕДОВАНИЕ

❗️ Все собранные в новом исследовании доказательства нарушений авторских прав и технические данные об инфраструктуре правонарушителей направлены в правоохранительные органы и регуляторам для усиления борьбы с онлайн-пиратством.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥248👍8🤔44🤩3😢2
4.2K viewsedited  
Борьба с киберпреступностью | F6
📢 Telegram 1:0 Утечки. Количество сливов баз данных российских компаний снизилось почти на треть — всё благодаря блокировкам в Telegram.

С января по март аналитики департамента киберразведки F6 зафиксировали 67 новых случаев публикации баз данных российских компаний на андеграундных форумах и в тематических Telegram-каналах. Это на 29% меньше, чем в первом квартале прошлого года.

▪️ 46%+ — утечки ритейла и интернет-магазинов.
▪️ 13% — утечки госсектора.

Также в зоне риска IT-компании, интернет-сервисы, телеком и образовательные порталы.

🔑 В открытом доступе оказалось порядка 99,7 млн строк пользовательских данных — ФИО, адреса, пароли, телефоны, даты рождения, паспортные данные.

Никита Кислицин, технический директор F6:

С января мы фиксируем активные блокировки закрытых Telegram-чатов, которые распространяли утекшие базы. В итоге количество новых утечек сократилось почти на 30%. По нашим данным, администрация Telegram начала жестче блокировать чаты и каналы за нелегальный контент, спам и подозрительную активность. Еще одной причиной, повлиявшей на статистику, стало повторное распространение старых случаев утечек.


Публичные утечки остаются одной из главных угроз для бизнеса.
Не расслабляйтесь 👀

😉 Борьба с киберпреступностью
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🔥8😁7😱33🤔2🎉222
4.35K views
Борьба с киберпреступностью | F6
📢 Как F6 Malware Detonation Platform ежедневно защищает компании от угроз?

Каждый день F6 Malware Detonation Platform анализирует более 3 млн файлов из разных источников, выявляя вредоносное ПО.

💚 Примеры таких находок мы собираем на портале «Отчеты MDP». Это публичная база кейсов, которая показывает:

▪️как MDP детонирует вредоносные файлы и ссылки;
▪️какие артефакты и сетевые соединения оставляет ВПО;
▪️поведение вредоносного кода, цепочки процессов, техники и тактики атакующих.

Расследования апреля:
▪️Zeppelin
▪️Rezet
▪️Hive0117
▪️WhiteSnake

Новые отчеты выходят регулярно 😎
➡️ Смотреть боевые кейсы бесплатно и без авторизации

🖱 Чтобы бесплатно протестировать платформу для детонации ВПО, напишите на info@f6.ru
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👍1210👏75🤩2
4.15K views
Борьба с киберпреступностью | F6
👀 Уйди в туман, запутай след

На CTI-митап обмениваться мнениями, опытом и кейсами отправится Владислав Азерский, заместитель руководителя Лаборатории цифровой криминалистики и исследования вредоносного кода F6 😎

Счастливчиков, успевших зарегистрироваться, ждем 26 апреля в 14-00.

➡️ О чем поговорим?
Разберем особенности противодействия злоумышленников криминалистическому анализу. Благодаря артефактам, собранным с атакованных систем, DFIR-специалистам удается восстановить если не всю цепочку действий атакующих, то хотя бы её ключевые этапы. Это возможно до тех пор, пока преступники не начнут использовать в арсенале различные техники антифорензики в ОС Windows и Linux.

Суббота будет интересной 🔥
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1811👏8👍7🤩3
3.99K views
Борьба с киберпреступностью | F6
⚡️ Компания F6 обнаружила принципиально новую сборку NFCGate.

▪️ О схеме с вредоносным ПО на основе NFCGate мы уже писали здесь, а о связке NFCGate и CraxsRAT — здесь. В феврале 2025-го аналитики F6 зафиксировали новую версию, которую используют в так называемой «обратной» схеме.

Вот как работает «хищник 2.0» ⬇️
Приложение адаптировали под сервис для мошеннических колл-центров. Вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты. Затем они под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле — преступникам.

❗️ Ущерб клиентов российских банков от всех вредоносных версий NFCGate за I квартал 2025 года — 432 млн рублей. Средняя сумма ущерба от обратной версии NFCGate по итогам марта — 100 тыс. рублей.

Собрали семь основных технических отличий обратного NFCGate от предыдущих модификаций ⬇️

1️⃣ При установке приложения не надо прикладывать карту к NFC-модулю и вводить ПИН-код.
2️⃣ Для использования «новой сборки» требуется меньше разрешений, чем для легитимного NFCGate.
3️⃣ Маскировка под приложение для бесконтактных платежей.
4️⃣ Для воспроизведения NFC-трафика не требуются root-права. Злоумышленники запрашивают установку ВПО в качестве платежной системы по умолчанию.
5️⃣ Расширен перечень команд, получаемых с сервера злоумышленников.
6️⃣ Вредоносный софт скрыт с главного экрана смартфона. Найти приложение можно только в настройках.
7️⃣ Усложнено обнаружение антивирусами и другими средствами детектирования вредоносного софта.

Читать все подробности в блоге.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24😱15👍124🤔2😢2
4.64K viewsedited  
Борьба с киберпреступностью | F6
⚡️ Свежие сводки об утечках стали одной из главных новостей недели. В колонке для «Коммерсантъ» CEO F6 Валерий Баулин рассказал о критической ситуации с утечками баз данных российских компаний и попытками государства навести порядок с защитой персональных данных.

Собрали главное ⬇️

▪️Новое законодательное регулирование в области защиты персональных данных следует рассматривать как логичную реакцию на создавшуюся критическую ситуацию.

▪️ После внедрения новых норм должность ИБ-руководителя может стать одной из наиболее уязвимых в системе управления рисками.

▪️ Санкции вряд ли приведут к снижению количества кибератак. Профессиональные хакерские группы, атакующие отечественные компании извне, не подчиняются российскому законодательству.

▪️ Еще полтора два-года назад я говорил о том, что количество строк в утекших базах данных уже превысило численность населения России.

▪️Утечки уже давно не вопрос денег. Большинство похищенных баз данных выложены в публичный доступ (в основном в Telegram-каналах) бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.

▪️ В условиях продолжающегося геополитического конфликта количество кибератак и число хакерских групп будет расти. Следовательно, регулирование способно сократить последствия инцидентов и повысить готовность компаний к атакам, но не повлияет на мотивацию и активность самих злоумышленников.

😉 Борьба с киберпреступностью
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2614👏10👍53🤩2
4.2K viewsedited  
Борьба с киберпреступностью | F6
Media is too big
VIEW IN TELEGRAM
Назвали незнакомцам код из СМС и вдруг поняли, что это код доступа к личному кабинету госсервиса? Без паники! Шанс предотвратить неприятные последствия выше, если начать действовать сразу и по четкому плану.

📢 Во второй серии нашего мини-курса руководитель департамента обучения F6 Светлана Бурикова поделилась рекомендациями, что делать при компрометации учетной записи госсервиса.

А первый ролик про неотложные действия при компрометации банковской карты смотрите здесь.

😉 Борьба с киберпреступностью
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24👍1614🤩4
5.59K viewsedited  
Борьба с киберпреступностью | F6
Forwarded from Positive Events
Media is too big
VIEW IN TELEGRAM
🎉 F6 — спонсор киберфестиваля Positive Hack Days!

В своем видеоприглашении Валерий Баулин, генеральный директор F6, рассказал, с какими докладами выступят эксперты компании на PHDays, что интересного они представят и что можно будет увидеть на их стенде.

До встречи на PHDays Fest 22–24 мая в «Лужниках»!
🔥30👏1918🎉91
4.17K views
Борьба с киберпреступностью | F6
❗️ Учебный год не заканчивается — он в самом разгаре. Вот на какие мощные программы F6 приглашает в мае.

1️⃣ Анализ данных киберразведки

Когда: 14-15 мая 2025 г.
Кто: Светлана Бурикова, руководитель Образовательного центра F6.
Зачем: чтобы грамотно собирать информацию о киберугрозах и дополнять процессы кибербезопасности данными TI для более эффективного реагирования.
Для кого: для специалистов с опытом ИТ/ИБ, сотрудников команд SOC и CERT, всем заинтересованным во внедрении или интеграции процессов Threat
Intelligence.

2️⃣ Сетевая криминалистика

Когда: 20-21 мая 2025 г.
Кто: Михаил Николаев, старший тренер по компьютерной криминалистике.
Зачем: чтобы эффективно собирать сетевые цифровые доказательства, расследовать инциденты различной сложности, применять данные киберразведки.
Для кого: для специалистов по ИБ и реагированию на инциденты, аналитиков SOC/CERT,  компьютерных криминалистов.

3️⃣ Исследование атак шифровальщиков

Когда: 27-29 мая 2025 г.
Кто: Михаил Николаев, старший тренер по компьютерной криминалистике.
Зачем: чтобы использовать методы криминалистики хоста для реагирования на атаки, определять тактики, техники и процедуры (TTP), используемые атакующими, осуществлять меры противодействия атакам операторов-шифровальщиков.
Для кого: ИБ-специалисты, технические специалисты с опытом в ИБ, специалисты по реагированию на инциденты.

➡️ Детали о курсах и стоимость можно уточнить, написав нам на почту education@f6.ru или заполнив форму на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍11👏7🤩321
3.99K views
Борьба с киберпреступностью | F6
Уже более 20 лет наша компания изучает огромные айсберги киберугроз, на которые может напороться организация или целая индустрия. Исследовать лишь верхушку айсберга недостаточно для защиты бизнеса, поэтому киберразведка научилась видеть то, что скрыто от глаз и находится на глубине.

🔍 Киберразведчики получают данные из множества источников — реальные атаки, инфраструктура злоумышленников, используемые инструменты и TTP (Tactics, Techniques, Procedures).

📢 Как киберразведка помогает бизнесу, какие разведданные существуют и почему сейчас все хотят получать данные не только о фидах, но и о TTP — рассказала Елена Шамшина, технический руководитель департамента киберразведки F6, в подкасте о Threat Intelligence (TI) на платформе Global Digital Space.

Смотреть здесь ⬇️

📺 VK Видео
📺 YouTube
📺 RUTUBE
📝 Дзен

😉 Борьба с киберпреступностью
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3519👏14👍4🤩4
3.67K views
Борьба с киберпреступностью | F6
Перед 9 Мая мошенники предлагают «заработать» до 30 млн руб.
 
В преддверии Дня Победы аналитики Digital Risk Protection F6 обнаружили рекламу инвестиционного мошенничества с использованием бренда государственного фонда «Защитники Отечества».

▪️ Заработать до 30 млн руб. можно якобы в рамках «социального проекта», «используя ресурсы и возможности России» = инвестируя в акции российских компаний. Для убедительности злоумышленники размещают фейковые комментарии от людей, которые уже «получили» крупные выплаты.

▪️ Сайты разработаны по шаблону, предположительно, в рамках партнерской мошеннической программы. От пользователей стандартно просят ФИО и телефон — по нему и звонит «персональный менеджер». Предложить могут не только покупку акций, но и установку приложения, которое предоставит преступникам контроль над устройством.

Евгений Егоров, ведущий аналитик Digital Risk Protection F6:

Использование бренда государственного фонда «Защитники Отечества» в сценариях инвестскама мы зафиксировали впервые. Организаторы схем инвестиционного мошенничества регулярно пытаются играть на патриотической тематике. Например, в октябре прошлого года скамеры создали сайты несуществующей организации «Спецфонд ВПК», через которые предлагали инвестировать в оборонную промышленность.


❗️ Специалисты F6 направили на блокировку в НКЦКИ (Национальный координационный центр по компьютерным инцидентам) данные веб-ресурсов, которые мошенники используют от имени фонда «Защитники Отечества». Сейчас эти сайты уже заблокированы на территории России.

😉 Борьба с киберпреступностью
Please open Telegram to view this post
VIEW IN TELEGRAM
👏28🔥13😱95😢5👍3
4.24K views
Борьба с киберпреступностью | F6
⚡️Группировка Hive0117 провела масштабную фишинговую кампанию с использованием ВПО DarkWatchman.

Принципу «Давайте уже после праздников» киберпреступники не следуют и расслабляться не дают. 29 апреля специалисты F6 Threat Intelligence отследили активность группировки Hive0117, которая провела масштабную фишинговую атаку, ориентированную на российские компании. Целевые отрасли: медиа, туризм, финансы и страхование, производство, ритейл, энергетика, телеком, транспорт, биотехнологии.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Цели были выявлены в России, Беларуси, Литве, Эстонии, Казахстане.


Система F6 Managed XDR зафиксировала и заблокировала массовую рассылку писем с темой «Документы от 29.04.2025», отправленных с адреса manager@alliance-s[.]ru на 550+ адресов (рис. 1).

⤵️ Внутри — вложение в виде защищенного паролем архива, распространяемого под именами:

▪️«Док-ты от 29.04.2025.rar» (MD5: 8be367b5521e30979f9a4ca3f5bb04fa);
▪️«Документы от 29.04.2025.rar» (MD5: 91e85f333ce0a8547f438c98f158e685);
▪️«Документация от 29.04.2025.rar» (MD5: 52046d44d6e4dbf55ba03b0c177ac838).

Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией ВПО DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.

🔍 Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные (рис. 2), что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году. Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru — «Акт сверки №114-23 от 29.09.2023[.]zip».

‼️ Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов.

😉 Борьба с киберпреступностью
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3718🔥16😱6
5.07K views
Борьба с киберпреступностью | F6
Media is too big
VIEW IN TELEGRAM
😧 Желающие отдохнуть на Черноморском и Балтийском побережьях рискуют потерять деньги из-за мошенников.

Специалисты Digital Risk Protection F6 обнаружили новую схему перед сезоном отпусков. Скамеры размещают в соцсетях видео с предложением выгодно снять квартиру или дом, а для бронирования присылают фишинговую ссылку. Размер ущерба достигает 140 тыс. руб.

🎥 Подробнее — в видео.

Не попадитесь — если что, мы предупреждали 👀
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25🔥15133
4.79K views
Борьба с киберпреступностью | F6
Media is too big
VIEW IN TELEGRAM
Что делать при компрометации номера мобильного телефона? Объясняем в третьем эпизоде мини-курса «Золотой час».

🔊 Смартфон вдруг замолчал, и никто не может до вас дозвониться, хотя устройство заряжено и работает исправно? Проверьте, не получил ли кто-то доступ к вашему номеру. Злоумышленники могут сделать это разными способами: например, перевыпустить сим-карту по поддельной доверенности.

🔑 Ваш номер — золотой ключик от множества дверей: от личного кабинета в «Госуслугах» и почтового ящика до аккаунтов в соцсетях. Если злодеи похитили сим-карту или получили доступ к номеру, они могут получить доступ во все эти сервисы.

В третьей серии нашего мини-курса руководитель департамента обучения F6 Светлана Бурикова объяснила, что делать, если ваш номер угнали. А предыдущие серии проекта смотрите по ссылкам ниже:

➡️ Эпизод 1. Что делать при компрометации данных карты?

➡️ Эпизод 2. Что делать при компрометации учётной записи госсервиса?
Please open Telegram to view this post
VIEW IN TELEGRAM
19🔥11👏8👍11
5.39K views
Борьба с киберпреступностью | F6
⚡️ F6 зафиксировала активность группировки Core Werewolf против военных организаций Беларуси и России.

Core Werewolf — кибершпионская группа, которая атакует организации, связанные с ОПК, объекты критической информационной инфраструктуры. Первые атаки были замечены в августе 2021 года. В своих кампаниях группа использует ПО UltraVNC и MeshCentral.


‼️🇧🇾 2 мая на общедоступную онлайн-песочницу был загружен .eml-файл. Электронное письмо (рис. 1) было отправлено 29 апреля с адреса al.gursckj@mail[.]ru и содержало вложение — защищенный паролем архив с именем «Списки_на_нагр.7z», который специалисты F6 отнесли к арсеналу группы Core Werewolf.

▪️ Внутри архива находился 7z-архив «Списки на уточнение вс представляемых к награждению гос награды.exe». Запуск исполняемого файла приводил к распаковке файлов во временный каталог, инициации отображения PDF-документа (рис. 2), запуску CMD-скрипта и в результате — активации на устройстве жертвы UltraVNC.

Файлы-приманки в виде наградных списков уже неоднократно использовались в атаках этой группировки, наряду с файлами, содержащими координаты военных объектов, и прочими документами.


➡️ Анализ файла из атаки на F6 Malware Detonation Platform

‼️🇷🇺 17 апреля специалисты F6 обнаружили еще один вредоносный исполняемый файл — undoubtedly.exe, загруженный на сервис VirusTotal и приписанный группе Core Werewolf. PDF-файл-приманка «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf» в архиве содержал информацию военного характера, поэтому вредонос, вероятно, применяли в атаках на российские военные организации.

▪️ Помимо PDF-файла, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с участием файлов exception.bat и divine.bat. В результате запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.

➡️ Подробности атак описали на Habr
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24🔥14😱1095👏2
4.35K views
Борьба с киберпреступностью | F6
👀 Как использовать смарт-часы без риска для собственных данных? На связи команда F6, и сегодня мы запускаем новую рубрику — «Кибершпаргалка».

Зависимость от гаджетов растет, чего не скажешь про уровень осведомленности о киберугрозах и методах их предотвращения. Мы будем отталкиваться от насущных, даже бытовых, вопросов и объединим полезные советы, которые сами даем близким, когда те оказываются в непонятной ситуации.

➡️ Здесь нет скрытой рекламы и тайных «механизмов продвижения». Эксперты делятся личным опытом, чтобы сделать мир вокруг безопаснее.

💚 Первая шпаргалка от консультанта по кибербезопасности Сергея Золотухина.
Please open Telegram to view this post
VIEW IN TELEGRAM
VK
Кибершпаргалка №1. Как использовать смарт-часы без риска для собственных данных?
Мы всё больше зависим от гаджетов, которыми пользуемся. Но не все знают об угрозах, которые пришли вместе с «цифрой». Мошеннические схемы..
👍33🔥1312👏2🤔1
3.8K views