«Видео не найдено»: как эксперт F6 восстановил более 500 скрытых записей с видеорегистратора.

Есть кейсы, которые не отпускают даже спустя годы. Одним из таких поделился эксперт Лаборатории цифровой криминалистики F6 Андрей Кравцов.

⚙️ На экспертизу поступил диск видеорегистратора — с него должны были быть восстановлены ключевые записи, связанные с преступлением. Криминалистическим софтом записи за нужный временной промежуток вытащить не удавалось, хотя все обстоятельства указывали: видео точно было.

🔍 В результате специалисты Лаборатории всё же сумели восстановить видеоданные. Что удалось обнаружить — читайте в нашем блоге на Habr.

🔥 ПМЭФ в самом разгаре, и мы не могли его пропустить 🔥

Генеральный директор F6 Валерий Баулин и коммерческий директор F6 Егор Халилов сейчас в Санкт-Петербурге — проводят многочисленные деловые встречи.

Ожидаем важные бизнес-новости😎 Одну из них сообщим уже совсем скоро — следите за постами в нашем канале ⚡️

😉 Борьба с киберпреступностью

Боты не всегда атакуют. Чаще просто сбивают фокус — создают видимость роста, искажают метрики и заставляют тратить ресурсы впустую.

По данным F6, в периоды пиковых нагрузок до 42% входящего трафика составляют автоматические сессии.

И вот каковы последствия ⬇️

▪️ Воронки «разбухают» от несуществующих сессий, проваливая реальные конверсии.
▪️ Retention и LTV переоцениваются из-за активности, которой не было.
▪️ A/B-тесты теряют статистическую чистоту — боты «голосуют», не принося выручки.
▪️ BI-системы выдают динамику, в которой нет живого пользователя.

Как срезать шум до того, как он проникнет в аналитику, и укрепить защиту бизнеса — рассказали в статье.

⚡️ Брейкинг с ПМЭФ! F6 и Innostage сегодня заключили стратегическое партнерство с прицелом на развитие киберустойчивости страны.

🔥 Знания и опыт экспертных команд помогут построить киберустойчивые системы как на уровне отдельных предприятий, так и отраслей и даже регионов.

Вместе мы:
💚 разработаем новые подходы к защите от современных угроз;
💚 объединим аналитику и экспертизу;
💚 запустим практики, помогающие организациям адаптироваться к меняющемуся ландшафту рисков;
💚 переосмыслим методологию оценки и управления устойчивостью;
💚 инициируем новые образовательные программы.

Валерий Баулин, генеральный директор компании F6:

Мы давно и успешно работаем с компанией Innostage. Уверен, что уже в ближайшее время благодаря нашему взаимодействию удастся поднять уровень киберустойчивости предприятий, разработать и распространить новые стандарты кибербезопасности.

😉 Борьба с киберпреступностью

⚡️ Исследование room155: новые подробности деятельности группы от F6 Threat Intelligence.

Основной сценарий, используемый группой room155 (она же DarkGaboon и Vengeful Wolf), — рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.

Команда F6 TI на основе данных, полученных с помощью решения F6 MXDR, смогла:
▪️ отследить активность группы с декабря 2022 года;
▪️ собрать статистику по целям группы минимум из 9 отраслей;
▪️ обнаружить множество инструментов, в том числе ранее не упомянутых исследователями (арсенал впечатляет: Revenge RAT, XWorm, Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT, LockBit 3.0);
▪️ описать свежие атаки и связанные индикаторы компрометации.

Конечная цель атакующих — шифрование системы жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. Долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.

Подробнее — в блоге F6.

84% кибератак в 2024 году начались именно с попытки взлома электронной почты. Ключевые настройки и процессы, влияющие на защищенность компании, — собрали в чек-листе.

Одно неосторожное письмо может стоить вашей компании ₽53 млн в качестве выкупа. Размер компании злоумышленники не выбирают и ищут уязвимости везде — под угрозой как малые и средние, так и крупные предприятия.

В бесплатном чек-листе F6 по защите почты вы узнаете:

💚 уровень защищенности вашей корпоративной почты;
💚 список настроек безопасности, которые нужно проверить;
💚 наиболее эффективные инструменты защиты и методы предотвращения атак;
💚 экспертные рекомендации по каждому методу защиты.

⤵️ Скачать чек-лист

⚡️ Теперь и для Linux: продвинутая «песочница» F6 Malware Detonation Platform поддерживает российские ОС.

Среди актуальных угроз для Linux:
— Бэкдор DinodasRAT, на него перешла Earth Krahang — группа нацелена на правительственные учреждения по всему миру.
— Программа-вымогатель Babuk для шифрования данных в Linux-системах.
— Инструмент SUDO_KILLER для повышения привилегий в среде Linux.

‼️Госкомпании массово переходят на отечественные ОС на базе Linux — эта тенденция может отразиться в кибератаках.

Как защититься?
Обнаружить ВПО поможет sandbox-решение — F6 Malware Detonation Platform. Это продвинутая «песочница», которая «детонирует», а затем проверяет потенциально опасные файлы и ссылки в изолированной виртуальной среде, защищая корпоративную почту, серверы, рабочие станции и сетевой трафик компании от всех типов современных киберугроз.

💚 Теперь решение поддерживает детонацию файлов и ссылок в Linux-окружении.

➡️ Посмотреть отчеты с детонацией ВПО

Как MDP помогает ИБ-команде:
— Выявляет сложные угрозы.
— Имитирует реальные рабочие станции и серверы заказчика.
— Атрибутирует угрозы по данным из F6 Threat Intelligence.
— Поддерживает 300+ форматов файлов.
— Легко встраивается в ИТ-инфраструктуру.
— Проводит поведенческий анализ с помощью AI.

➡️ Подать заявку на тестирование продукта

👀 А что вы делаете, когда поступает подозрительный звонок — в шутку болтаете с мошенниками или молча вешаете трубку?

Троллинг мошенников — целое развлечение для множества пользователей, но сейчас мы рекомендуем отказаться от этой практики. Технологии не стоят на месте: три секунды вашего голоса под запись, и вот у злоумышленников уже готов дипфейк для обмана ваших близких.

3 главных причины, почему не стоит вести разговоры со злодеями, — в нашей «Кибершпаргалке №4».

😧 Точка старта большинства современных атак — дарквеб. Это закрытая, неиндексируемая часть интернета, куда не добираются поисковики и куда не заглядывает большинство компаний. Именно там злоумышленники обсуждают цели, обмениваются инструментами, продают доступы к корпоративным сетям и публикуют украденные данные.
 
1 июля F6 проведет вебинар для руководителей компаний и владельцев бизнеса, CISO и ИБ-спецов, IT- и SOC-команд, а также для всех, кто отвечает за устойчивость и безопасность бренда.

Вы узнаете:
〰️где и как формируются атаки на бизнес;
〰️почему дарквеб — это не миф, а реальный источник угроз;
〰️что сделать уже сейчас, чтобы не стать следующей жертвой.
 
01 июля в 11:00. Участие бесплатно. Регистрация обязательна.
  
➡️ ЗАРЕГИСТРИРОВАТЬСЯ

❗️Бесплатные онлайн-библиотеки стали рассадником вредоносного ПО.

Специалисты Центра кибербезопасности F6 обнаружили на сайтах популярных бесплатных онлайн-библиотек вредоносный код, который заражал компьютеры жертв майнерами — вредоносным ПО для скрытой добычи криптовалют.

🔍 С помощью системы F6 Managed XDR аналитики заметили, что на одном из устройств компании-клиента вредоносный код внес исключения в настройках антивируса и запустил ряд процессов на компьютере жертвы. После локализации угрозы и исследования инцидента специалисты установили, что пользователь самостоятельно скачал файл с ресурса flibusta[.]su и запустил его.

❗️Майнер загружается только на компьютер. Если открыть сайт на смартфоне, злоумышленники только перехватят логин и пароль от учетки на инфицированном ресурсе, если жертва введет их в форму авторизации.

⚙️ Графовый анализ Graph Threat Intelligence F6 показал, что вредоносный код также содержали и другие сайты онлайн-библиотек, которые в месяц посещают около 9 млн пользователей. Тот же скрипт распознали на сайтах интернет-магазинов и онлайн-площадках для хобби.

😉 Борьба с киберпреступностью

Новая масштабная атака Werewolves: злоумышленники рассылают фейковые досудебные претензии с опасными вложениями, маскируясь под базу отдыха и завод спецтехники.

Werewolves — группа вымогателей, действующая с 2023 года. В арсенале инструментов — Anydesk, Netscan, CobaltStrike, Meterpreter и Lockbit. Главные цели — промышленные предприятия, телеком, IT, финансовые и страховые организации. Особенность группы: двойное давление на жертву — кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить.

‼️Последняя (июньская) волна рассылок призывала оплатить задолженности. Распространяемые вложения отличались.

Вариант 1️⃣: архивы, содержащие исполняемые файлы. Злоумышленники присваивают вредоносным файлам двойные расширения (например, .pdf.lnk). При стандартных настройках Windows реальные расширения могут быть скрыты, и пользователь видит только «.pdf», что снижает бдительность и увеличивает вероятность запуска вредоносного кода.

➡️ Отчет на Malware Detonation Platform от F6

Вариант 2️⃣: документы Microsoft Office, в которых эксплуатируется хорошо известная уязвимость CVE-2017-11882. Эта уязвимость в компоненте Microsoft Equation Editor позволяет злоумышленнику исполнить произвольный код с привилегиями пользователя, который открыл файл.

Подробности — в блоге на Habr.

Лето в этом году — точно не для пикников и прогулок. Но будем стараться брать от него всё — например, возможности после прохождения трех мощнейших курсов F6 😎

1️⃣Компьютерная криминалистика и реагирование на инциденты в ОС Linux

Когда? 2–3 июля 2025.
Кто? Ангелина Аникина, тренер по кибербезопасности.
Зачем? Чтобы быстро и грамотно реагировать на инциденты в Linux-системах, освоив ключевые элементы Linux DFIR: сбор данных, анализ оперативной памяти и хостовую криминалистику — с практическими кейсами и отработкой навыков.

2️⃣Компьютерная криминалистика и реагирование на инциденты в ОС Windows

Когда? 21-25 июля 2025.
Кто? Михаил Николаев, старший тренер образовательного центра F6, Светлана Бурикова, руководитель образовательного центра F6.
Зачем? Чтобы изучить методы сбора криминалистических данных, создание копий накопителей информации и анализ артефактов для восстановления хода атак. Узнать, как эффективно и наиболее полно восстанавливать картину инцидента с использованием расширенного списка криминалистических артефактов, используя инструменты и подходы, применяемые в ОС Windows.

3️⃣Тестирование на проникновение

Когда? 15–17 июля 2025.
Кто? Кирилл Федоренко, специалист по тестированию на проникновение.
Зачем? Чтобы углубиться в методы и подходы киберпреступников и эффективно выявлять уязвимости в системах своей организации. А также чтобы освоить техники, которые значительно повысят уровень безопасности и защитят бизнес от угроз.

➡️ Детали о курсах и их стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

FakeDate по новым правилам: злоумышленники заманивают жертв на «киноплатформу» и похищают деньги.
 
В основе — адаптированная схема «Антикино».

Злоумышленник под видом привлекательной девушки из крупного российского города знакомится с потенциальной жертвой в соцсетях, на сайтах знакомств или в Telegram-боте.
⬇️
Далее мошенник переводит переписку в мессенджер, где предлагает провести вечер за просмотром кино через специальное приложение.
⬇️
Оформление «подписки» на него предоставляет злоумышленникам доступ к счету жертвы. Детали новой схемы — в релизе.

‼️В новом сценарии злоумышленники используют бренд платформы (RAVE), которая позволяет совместно просматривать фильмы онлайн и обсуждать их. Они создали фишинговый сайт, который внешне напоминает оригинальный ресурс.

С начала 2025 года по схеме с «кино на расстоянии» мошенники обманули более 40 человек, сумма ущерба — 340+ тыс. рублей.

😉 Борьба с киберпреступностью

👀 Пока пользователи еще не вошли в систему, боты уже вовсю тестируют формы, атакуют API и эмулируют человеческое поведение. Объясняем, как бизнесу расширить контролируемую зону в ИБ.

Традиционные инструменты защиты (WAF, антифрод, капчи) срабатывают слишком поздно и не покрывают уязвимые участки до логина.

Preventive Proxy — решение, которое анализирует поведение ещё до авторизации:

▪️ отслеживает аномалии в действиях;
▪️ профилирует сессии;
▪️ выявляет автоматизацию;
▪️ принимает решения в реальном времени.

Скрытую структуру атак также позволяет выявить графовый анализ. Он может установить: 
▪️ множественные входы с одного устройства под разными аккаунтами;
▪️ повторяющиеся поведенческие паттерны при различии идентификаторов;
▪️ активность из одной подсети с разными агентами и отпечатками.

Подробнее о защите трафика до авторизации — рассказали в статье.

Видим цель — не видим препятствий 😎

На фестивале PHDays коммерческий директор F6 Егор Халилов дал блиц-интервью для AM Live. О бренде, продуктах, клиентах и амбициях стать компанией №1 в сфере кибербеза — смотрите в видео.

📺 ВК Видео

📺 YouTube

📺 RuTube

Итоги полугодия: F6 обнаружила 555 доменов поддельных инвестиционных сайтов.

Инвестиционное мошенничество существует давно, но по-прежнему приносит большую прибыль злоумышленникам.

🔍 Аналитики F6 проанализировали лишь несколько шаблонов поддельных сайтов инвестиционного мошенничества, выдающих себя за известные бренды. В первом полугодии 2025 года было зарегистрировано 555 доменов — на 3.93% больше, чем во втором полугодии 2024 года (534). А реальные масштабы данной схемы намного больше.

⚙️ Также киберпреступники постоянно меняют дизайны шаблонов, используя актуальные инфоповоды для привлечения аудитории на мошеннические ресурсы.

😉 Борьба с киберпреступностью