📢 Недавний крупный инцидент в сфере кибербезопасности в очередной раз доказал: ритейл — одна из наиболее уязвимых отраслей бизнеса. Почему?

Разбираемся в третьем выпуске видеоподкаста F6 «Шестой отдел» — как «Индекс кибербезопасности» защищает от кибератак и экономит бюджеты.

🎙 Ведущим этого эпизода стал Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз (MXDR). Вместе с гостями — директором по маркетингу Анастасией Меркуловой и руководителем департамента Attack Surface Management (ASM) Николаем Степановым — выясняли, как измерить степень защищенности компаний и сколько они теряют на слепых зонах в инфраструктуре.

Хайлайты выпуска:

▪️ Как измеряют уровень киберзащиты компаний? Почему «движком» Индекса стало решение ASM?
▪️ Почему самый высокий уровень защиты у банков, а самый низкий — у ритейла?
▪️ Кому нужен чек-ап кибербезопасности?
▪️ Сколько миллионов можно потерять из-за забытого лендинга?

➡️ СМОТРЕТЬ НА YOUTUBE
➡️ СМОТРЕТЬ В VK ВИДЕО
➡️ СМОТРЕТЬ НА RUTUBE

Ловушка для взрослых: мошенники открыли найм в OnlyFans. Объясняем, как работает новая схема.
 
Аналитики Digital Risk Protection F6 обнаружили новый сценарий мошенничества c удаленной работой. Злоумышленники размещают объявления о поиске модераторов сайта для взрослых. Удаленка, гибкий график, в пуле задач — обеспечение комфортной и безопасной среды для пользователей.

Как работает схема ⬇️

1️⃣Прицел на владельцев смартфонов на базе Android 7 и выше.

2️⃣Мошенники просят оформить подписку за 1₽ через фейковое приложение. Регистрация в нем нужна, чтобы работать — верифицировать новые анкеты моделей — и получать зарплату: 10 тыс. руб. в неделю на ту же карту.

3️⃣Если соискатель соглашается, скамер направляет ссылку, которая ведет на сайт only-fans[.]in, который маскируется под страницу магазина приложений Google Play. Под видом мобильного приложения OnlyFans пользователю предлагают скачать вредоносный APK-файл, позволяющий перехватить данные карты пользователя.

Это не единственная схема с использованием бренда OnlyFans. Мошенники также завлекают пользователей интимными фото девушек, предлагая продолжить просмотр в фейковом приложении. Другой сценарий — предложение подписаться на тематические блоги экспертов в OnlyFans.

С начала 2025 года только одна из скам-групп похитила у россиян почти 870 тыс. руб., используя схему с OnlyFans.

😉 Борьба с киберпреступностью

Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя Phobos.

▪️ Российские компании и физические лица, которые ранее пострадали от Phobos, теперь могут бесплатно и безопасно восстановить зашифрованные данные. Инструмент можно скачать на гитхабе F6 DFIR.

▪️17 июля был опубликован декриптор, разработанный специалистами правоохранительных органов Японии. Но эта утилита не поддерживает старые версии Windows и имеет ряд недостатков.

🔍 Впервые шифровальщик Phobos был замечен в октябре 2017 года, а активизировался с 2019 года. Вредоносная программа распространяется на киберпреступных форумах по модели RaaS (Ransomware as a Service).

➡️ Больше информации о семействах программ-вымогателей и декрипторов вы можете найти на нашем гитхабе F6 DFIR.

NyashTeam: F6 вскрыли инфраструктуру кибергруппы и инициировали ее блокировку. Большой блог от киберразведки.

NyashTeam — киберпреступная группировка, активная как минимум с 2022 года. Она продаёт через Telegram-боты и веб-сайты вредоносное ПО двух семейств – DCRat и WebRat, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры и поддерживает клиентов через плагины, гайды и инструменты обработки данных. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России.

🔍 В ходе исследования аналитики Threat Intelligence F6 и Digital Risk Protection F6 выяснили, что группировка распространяла вредоносный софт по MaaS-модели — она позволяет даже начинающим злоумышленникам выполнять сложные атаки без специальной подготовки.

💲Инструментами NyashTeam пользуются злоумышленники из разных стран мира из-за относительной низкой стоимости ВПО. Стоимость подписки на бэкдор DCRat — 349 руб./мес., а на ВПО WebRat — 1199 руб./мес.
В большинстве случаев клиенты группировки распространяют ВПО через платформы YouTube и GitHub.

👀 Наибольшая активность регистрации вредоносных доменов и их использования пришлась на декабрь 2024 года и январь–февраль 2025-го. Так, клиенты группировки рассылали фишинговые письма с ВПО DCRat компаниям из сфер логистики, нефтегазовой добычи, геологии и IT.

❗️По данным на 21 июля 2025 года уже заблокированы 110+ доменов в зоне .ru. Также заблокирован Telegram-канал с исходным кодом WebRat и ряд обучающих видео на популярном видеохостинге.

➡️ Все детали исследования и индикаторы компрометации — читайте в новом блоге на сайте F6.

👀 Чек-лист: как повысить уровень безопасности в общедоступном мессенджере.

Кража учетной записи может привести не только к потере доступа, но и к утечке конфиденциальной информации, которая может быть использована для атак пользователей и даже компрометации данных целой компании. Евгений Янов, руководитель департамента аудита и консалтинга компании F6 рассказал, на что нужно обратить внимание для максимально безопасного общения в мессенджерах на примере Telegram и WhatsApp.

▪️Совет №1. Используйте встроенные механизмы защиты мессенджеров. Изучите вкладку «Безопасность и приватность» и укажите, какие данные и кому будут видны, кто может вам звонить, добавлять в чаты.

▪️Совет №2. Подвергайте сомнению все сообщения, где от вас требуют действий. Не спешите открыть неизвестный файл или перейти по ссылке. Также не сообщайте личные данные и не переходите в другие мессенджеры.

▪️Совет №3. Включите двухфакторную аутентификацию. После установки дополнительного пароля для входа в приложение злоумышленник не сможет попасть в ваш аккаунт, даже если украдет пароль.

▪️Совет №4. Периодически проверяйте активные сессии. Если обнаружите, что устройство в списке не ваше, как можно скорее закройте сессию и измените пароль.

▪️Совет №5. Проверяйте новых участников в чатах. Даже небольшие несоответствия в имени или стране могут указывать на поддельный или скомпрометированный аккаунт.

Подробнее о безопасности в чатах мессенджеров рассказали на VC. Защищайте себя осознанно!

👀 Злоумышленники знают абсолютно всё о россиянах: паспортные данные, пароли, телефонные номера. Утечки персональных данных — одна из наиболее актуальных киберугроз.

Как взаимодействовать с ними и как их защищать — рассказываем на нашем новом курсе ⬇️

▪️ Основы персональных данных: законодательство, обязанности и ответственность

Когда? 13 августа 2025.
Кто? Роман Сюбаев, руководитель отдела оценки соответствия и консалтинга F6
Зачем? Чтобы узнать о действующих нормативных актах, видах персональных данных и роли обработчиков, а также разобраться в требованиях, предъявляемых к обработке данных, и формах ответственности за их нарушение.

➡️ Детали о курсе-лекции и его стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

Как злоумышленники маскируют ВПО, в чем опасность публичных песочниц и зачем нужно «взрывать» файлы — все ответы в гайде от F6.

Пара кликов по вредоносному файлу или ссылке могут стоить компании миллионы. В White Paper для бизнеса рассказываем, как вредоносное ПО проникает в систему через корпоративную почту, сетевой трафик и рабочие станции.

Ключевые темы ⬇️

▪️ Разбор сценариев атаки с замаскированным ВПО;
▪️ случаи, при которых антивируса недостаточно;
▪️ эффективность песочниц в защите компании от кибератак, а также риски публичных sandbox;
▪️ преимущества F6 Malware Detonation Platform.

➡️ СКАЧАТЬ ГАЙД

Продолжаем серию скринкастов. Сегодня показываем, как мошенники общаются с жертвами, используя схему Fake Boss 🎥

Злоумышленники часто притворяются руководителями компании, чтобы заставить сотрудников выполнить их указания: перевести деньги или раскрыть конфиденциальную информацию.

Обычно такие сообщения приходят в мессенджеры или на электронную почту, а дальнейшее общение проходит по телефону. Всё выглядит убедительно, ведь злоумышленники буквально копируют аккаунт реального начальника, а иногда используют голосовой дипфейк.

Один из сценариев атаки по схеме Fake Boss показываем в видео. Оставайтесь в кибербезопасности❤️

Сливы подросли на CRM: специалисты F6 посчитали общее количество утечек баз данных российских компаний, впервые слитых в 2025 году.

▪️В январе-июне 2025 года аналитики Threat Intelligence F6 зафиксировали 154 новых случая публикации баз данных российских компаний, оказавшихся на андеграундных форумах и в тематических Telegram-каналах — это на 2,67% больше, чем в 2024 году.

▪️В открытом доступе оказалось 198,6 млн строк пользовательских данных, в том числе — ФИО, элекронные и физические адреса, пароли, даты рождения, паспортные данные, телефоны.

▪️Эксперты F6 отмечают, что 37% утечек приходится на ритейл-компании.

Дарья Городилова, аналитик Threat Intelligence компании F6:

Несмотря на уменьшение количества публикуемых баз данных в первом квартале 2025 года, связанное, предположительно, с активной блокировкой администрацией Telegram тематических каналов, в апреле-июне злоумышленники продолжили публиковать данные скомпрометированных ресурсов. Они повторно создают Telegram-каналы, делая их приватными. Кроме того, начиная с апреля 2025 года, эксперты зафиксировали множество случаев публикаций данных, выгруженных, предположительно, из CRM-систем различных ресурсов.

Подробнее об исследовании — читайте на сайте F6.

Берите, кто хотите: F6 обнаружила новый сценарий финансового мошенничества.

🔍 Как работает новая схема?
Злоумышленники предлагают оформить виртуальную кредитную карту с лимитом в 100 тыс. руб. под 99% годовых (или 0,27% от суммы займа в день). Ограничений по возрасту, кредитной истории и другим критериям — нет. Под предлогом оформления карты скамеры просят заплатить комиссию в 3050 руб.

😧 Кто в зоне риска?
Аналитики выяснили, что схема направлена против пенсионеров, людей в трудной жизненной ситуации и с плохой кредитной историей.

Евгений Егоров, ведущий аналитик Digital Risk Protection F6:

При определении круга потенциальных жертв киберпреступники в первую очередь ориентируются на самые уязвимые слои населения, которым будет проще «продать» приманку. В данном случае цель злоумышленников — закредитованные граждане, нуждающиеся в деньгах, но в силу плохой кредитной истории не имеющие возможности получить новый кредит.

Как выглядит мошеннический сайт?
▪️Ресурс, обнаруженный в зоне .ru, сообщает, что выдачу кредиток одобряют «почти всем», а кредитная история «не важна». При регистрации требуется указать электронный адрес и придумать пароль, а в анкете — ФИО, паспортные данные, ИНН и СНИЛС, место работы, стаж и доход.

▪️Домен зарегистрирован 7 июля 2025 года от имени реальной организации, зарегистрированной в Санкт-Петербурге. На главной странице злоумышленники предупреждают: «Остерегайтесь мошенников!».

▪️Специалисты F6 подчеркивают высокий уровень проработки фейкового сайта: на его страницах почти нет орфографических ошибок, которые раньше были типичны для мошеннических сайтов. F6 также обращает внимание на использование реквизитов действующей организации.

😉 Борьба с киберпреступностью

В жизни всегда есть место кринжу. Даже во время самых серьезных киберинцидентов.

🔍С 28 по 29 июля специалисты F6 фиксируют массовую рассылку писем якобы от имени группы Belarusian Cyber-Partisans. Напомним, что это одна из двух групп (вторая — проукраинские хактивисты из Silent Crow), которая взяла на себя ответственность за совместную атаку на «Аэрофлот».

▪Выявленная рассылка велась минимум с 6 адресов по российским компаниям из таких отраслей, как промышленность, разработка ПО, ритейл, туризм, строительство, банки. Письма не содержат вредоносных вложений и ссылок.

😧Зато само письмо якобы было отправлено от имени основателя Chronopay Павла Врублевского. Напомним, что в 2013 году он был осуждён за организацию DDoS-атаки на конкурента — платёжный сервис «Ассист», обслуживавший в том числе и «Аэрофлот». В 2022 году Врублевский снова был задержан и отправлен в СИЗО по обвинению в мошенничестве в особо крупном размере и краже организованной группой.

▪В письме заявляется, что если Врублевского не отпустят из СИЗО до 23 августа, будут атакованы Банк России и ФСИН России.

▪В телеграм-канале "Дневник Павла Врублевского" за несколько часов до рассылки появилась запись, что у него в связи со "взломом Аэрофлота" есть "железное алиби".

▪Кстати, мимикрия под преступные группы или хактивистов довольно распространена. Весной 2025 года была обнаружена похожая массовая рассылка от имени другой хактивистской группировки BO Team — тогда злоумышленники рассылали российским компаниям письма о том, что их инфраструктура находится под контролем и требовали "упредительный" выкуп в размере $2 000, дабы избежать атаки.

😉 Борьба с киберпреступностью