CTF на выходные 😎 Предлагаем проверить свои силы по реверс-инжинирингу и решить головоломку. Приз — классный мерч F6.

Наше задание не является синтетическим — оно создано по реальному кейсу. Недавно специалисты F6 помогли одному из детских садов на Кубани с расшифровкой файлов после атаки с использованием программы-вымогателя.

Предлагаем расшифровать его и вам и получить флаг⬇️

⤵️Скачать файл (пароль на архив: f6_ctf)

Файл зашифрован с помощью программы-вымогателя, идентичной той, что была использована для атаки на детский сад.

Образец программы-шифровальщика на ресурсах:

▪️ ANYRUN
▪️ VirusTotal
▪️ Virus.exchange

❗️ Выполняя задание CTF, помните, что имеете дело с реальным вредоносным ПО ❗️

Ответы с флагом присылайте на почту ctf@f6.ru. Список победителей мы опубликуем через месяц. Первая пятерка получит мерч от компании.

Решайте сами и делитесь задачкой с коллегами! Желаем удачи 🏆

🔥 Целый десант экспертов F6 на OFFZONE 🔥 Сохраняйте программу, чтобы ничего не пропустить!

21—22 августа в Москве пройдет международная конференция по практической кибербезопасности OFFZONE. В программе — только техническая мякотка и наиболее актуальные темы кибербеза.

Вот что подготовила к конференции команда F6 ⬇️

📍 21 августа, 14:30—15:30, Community track
Спикер: Вера Коленикова
Доклад: «Параллельные каналы никогда не пересекаются или…?»

📍 22 августа, 10:30—11.00, Threat.Zone
Спикер: Лада Крюкова
Доклад: «Опережая атаку: как анализ угроз в даркнете помогает предотвратить попытки компрометации и узнать планы злоумышленников»

📍 22 августа, 12:30—13:00, Threat.Zone
Спикер: Владислав Азерский
Доклад: «Охота на призраков: изучение сетевой инфраструктуры атакующих»

📍 22 августа, 14:45—15:15, Fast track
Спикер: Владислав Азерский
Доклад: «Охота на тануки: узнаем точную версию GitLab»

📍 22 августа, 16:00—16:30, Threat.Zone
Спикер: Алена Шандер
Доклад: «Киберразведка против мемов. Обнаружение мем-доменов и их атрибуция»

📍 22 августа, 16:00—16:40, AntiFraud.Zone
Спикер: Дмитрий Ермаков
Доклад: «Матрица мошенничества»/ Fraud Matrix

📍 22 августа, 16:30—18:00, Threat.Zone
Спикер: Елена Шамшина
Доклад: «Пивнельная дискуссия: ландшафт киберугроз России в 2025 году»

➡️ Подробнее о конференции и программе

Число угонов Telegram-аккаунтов увеличилось на 51% год к году.

▪️ По данным Digital Risk Protection F6, только одна из русскоязычных групп злоумышленников за январь—июнь 2025 года похитила 1 496 034 учетных записей Telegram-пользователей. На момент исследования F6 зафиксировала не менее четырех таких групп.

💲 Российские аккаунты продают на теневом рынке в среднем за 128 руб., что на 20% дешевле, чем во втором полугодии 2024 года. Самая низкая цена (от 12 руб.) — на учетки, зарегистрированные на номера Индии.

👀 Для угона злоумышленники используют фишинговые ссылки в сообщениях о фейковых голосованиях, предупреждениях от службы безопасности, годовой Premium-подписке в подарок, различных призах.

🔍 Что изменилось в сфере угона аккаунтов?

1️⃣Число краж росло с января по март, но затем начало снижаться. Уже в июне похитили в два раза меньше аккаунтов, чем в апреле.

2️⃣Некоторые торговые площадки запретили продажу российских аккаунтов. Мошенники были вынуждены искать другие способы продаж или переориентироваться на угон зарубежных учеток.

Подробнее об исследовании — в релизе.

У кого-то в сентябре учебный год только начинается, а в F6 — продолжается 😎

🔍 Хотите научиться раскрывать киберпреступления любой сложности изнутри? Приглашаем на практический курс об исследовании сетевого трафика в рамках реагирования на инциденты.

➡️ Сетевая криминалистика ⬅️

Когда? 9–10 сентября
Кто? Михаил Николаев, старший тренер по кибербезопасности F6
Зачем? Чтобы эффективно собирать сетевые цифровые доказательства для расследования инцидентов; расследовать инциденты различной сложности, используя сетевые артефакты; применять данные киберразведки для повышения точности расследования.

🟣 Детали о курсе-лекции и его стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

📢 Как безопасно использовать бесплатные общественные Wi-Fi сети? Объясняем в новой «Кибершпаргалке».

Россиян манят бесплатные общественные Wi-Fi сети, и мошенники этим пользуются. Эксперт F6 по кибербезопасности Сергей Золотухин в своей новой статье рассказывает, какие риски связаны с использованием таких сетей и как их избежать.

Вы уверены, что ваша компания защищена? Хакер смотрит иначе.

F6 Attack Surface Management показывает инфраструктуру глазами атакующего.
Это не аудит и не теория, а разведка на основе фактов:

▪️ какие сервисы доступны снаружи;
▪️ где отсутствует корректная настройка TLS и защита канала передачи данных;
▪️ какие внешние подрядчики оставили точки входа и какие данные уже фигурируют в даркнете.

❗️ Практика показывает: начальная точка атаки часто не сложная уязвимость, а доступные извне элементы. Пока компания уверена, что защищена, злоумышленник уже проверил все уязвимые элементы, о которых никто не сообщил.

В статье разбираем ключевые этапы подготовки атаки ⬇️

1️⃣ Какие данные злоумышленники собирают в первую очередь?
2️⃣ Как технические и организационные следы сотрудников упрощают атаку?
3️⃣ Почему зрелые внутренние процессы не защищают внешний периметр?
4️⃣ Как строится вектор проникновения на основе внешней цифровой поверхности?
5️⃣ Почему превентивный подход эффективнее реагирования?

Посмотрите на свою компанию глазами атакующего — с нашей статьей.

Заработок в рамках госпроекта: мошенники вовлекают в инвестскам через фейковый сайт президента.

Аналитики Digital Risk Protection F6 зафиксировали новую тактику инвестскама. Под видом официального сайта президента злоумышленники создали фейковый ресурс, где сообщают якобы о запуске госплатформы для заработка от 150 000 руб./нед.

‼️Поддельный сайт не похож на оригинальный, а фейковое сообщение о запуске несуществующего госпроекта «Крипто Школа» обозначено как указ главы государства, который не содержит ни номера, ни конкретной даты.

‼️Ресурс создан по шаблону для инвестскама со стандартным оформлением: окно для ввода имени и телефона, ложные сообщения о выплатах и отзывы.

‼️Домен фейкового сайта зарегистрирован 18 июня 2025 года.

Через российские поисковые системы домен не индексируется. Вероятно, ссылка на него распространяется приватно в почте.

😉 Борьба с киберпреступностью

⚡️ Слово «малый» не останавливает киберпреступников — любой бизнес можно потерять за 5 минут ⚡️

26 августа в «Кибердоме» пройдет CyberLink Conf — первая конференция сообщества CyberLink о безопасности бизнеса в цифре.

СЕО F6 и амбассадор «Кибердома» Валерий Баулин расскажет, зачем МСП кибербезопасность.

В сессии, где выступит Валерий, никакой скучной теории — только реальные цифры и примеры от спикеров ⬇️

💚 статистика атак на МСП и определение главных угроз;
💚 разбор кейса: как бизнес взломали за 5 минут;
💚 разбор кейса: как сэкономить 70% на кибербезопасности без потери защиты;
💚 разбор бюджетирования: от «нулевой» защиты до enterprise-решений.

Без пафоса, на примерах и «с калькулятором» 😎

👀 Регистрация

Встречаемся 26 августа, в 09:00, в «Кибердоме» 📍

Мошенники готовятся к школе. F6 обнаружила сеть фишинговых сайтов электронных дневников.
 
🔍 В преддверии нового учебного года аналитики Digital Risk Protection F6 зафиксировали появление фишинговых сайтов, имитирующих сайт электронных дневников и копирующих дизайн госсервиса.

Мошенники уверяют, что «для обеспечения безопасности данных» и «в соответствии с новыми требованиями» доступ к системе осуществляется исключительно через ЕСИА. Если пользователь введет логин, пароль и код из СМС от госсервиса, злоумышленники получат доступ к его учетке.

🔍 Другой аналогичный мошеннический сайт маскируется под официальный ресурс Минобрнауки. Мошенники обзванивают студентов, представляясь сотрудниками министерства. Они утверждают, что из-за «нового закона» нужно предоставить «характеристику», которая повлияет на зачисление или трудоустройство после вуза. Так они вынуждают авторизоваться на фишинговом сайте — ведь получить «документ» можно только там.

❗️ F6 направила обнаруженные домены на блокировку.

😉 Борьба с киберпреступностью

На какие сценарии приходится 90% атак мошенников на физлиц? В F6 всё подсчитали, систематизировали все актуальные схемы и собрали — «Матрицу фрода».

«Матрица фрода» (Fraud Matrix) — база знаний, в которой разобраны все актуальные схемы финансового мошенничества и более сотни техник, которые используют злоумышленники.

⚙️ Новый бесплатный инструмент F6 для всего антифрод-сообщества позволяет распознать начало атаки и предшествующие факторы: как злоумышленники получили чувствительные данные, планировали свои шаги и каких целей добиваются.
  
🔍 База знаний F6 Fraud Matrix содержит информацию о наиболее актуальных мошеннических схемах — в том числе реальные примеры атак с переписками мошенников и другими данными, которые позволяют детально оценить суть схемы.

Матрица будет развиваться и дополняться самими пользователями. Вот что можно сделать:

💚 добавить описание новой схемы;
💚 категоризировать ее по каналам и брендам, которые используют мошенники;
💚 разложить атаку по техникам, которые используют мошенники.

➡️ ПЕРЕЙТИ В «МАТРИЦУ ФРОДА»

‼️Регистрация только с корпоративной почты

Киберпреступники стали чаще использовать детей в своих схемах 😧 Количество таких инцидентов в месяц выросло в шесть раз с декабря 2024-го.
 
Как атакуют детей?
Младших школьников атакуют через онлайн-игры (Roblox, Minecraft и др.) — знакомятся в игровых чатах и предлагают принять участие в розыгрыше игровой валюты, скинов, бустов.

Дети постарше подвержены схеме FakeBoss — их атакуют от лица сотрудников школы, органов власти и других структур. У ребенка просят код из СМС, а потом угрожают тем, что родителям грозит обвинение в пособничестве террористам, и требуют выполнить инструкции (зайти в банковское приложение с телефона родителей, перевести деньги, сделать скриншоты, сообщить личную информацию и т.д.). Подробнее о таких схемах — в базе знаний Fraud Matrix F6.

Как ситуация выглядит в цифрах?
▪️За полгода аналитики F6 зафиксировали в России около 3500 инцидентов, в которых преступники управляли несовершеннолетними, чтобы получить доступ к счетам родителей.
▪️Ежемесячное число атак через детей увеличилось почти в 6 раз — до 580.
▪️Чаще всего мошенники атакуют детей в возрасте 10-14 лет.
▪️Средний размер ущерба с начала года вырос почти в 2,5 раза — с ₽80 тыс. до ₽190 тыс., а общий может превышать ₽600 млн.

😉 Борьба с киберпреступностью

⚡️ Кейс Sminex и F6: как обезопасить бренд девелопера элитной недвижимости.
 
Для защиты от нелигитимного использования бренда в киберпространстве Sminex использует решение F6 Digital Risk Protection. Вместе компании исследовали наиболее популярные мошеннические схемы в сфере премиального строительства.

Ключевые киберриски в сфере недвижимости:

🔴 потеря персональных данных, которые можно использовать далее в разных сценариях телефонного мошенничества;
🔴 потеря денег через, например, бронирование лота;
🔴 установка вредоносного ПО на смартфон или компьютер.

В 2024–2025 гг. F6 заблокировала 63 мошеннических ресурса, которые использовали бренд Sminex. Приводим самые популярные схемы:

1️⃣ Сайты- и аккаунты-клоны.
Злоумышленники копируют официальный сайт девелопера — дублируют оригинальный дизайн, заимствуют фото и рендеры домов и предлагают оставить заявку для получения презентации. Аналогичное мошенничество происходит и в соцсетях с фейковых аккаунтов, групп и чатов девелопера.
 
2️⃣ Фейковые партнерские программы.
Злоумышленники предлагают клиентам участие в несуществующих программах лояльности или акциях, привлекая внимание фиктивными бонусами. Также они отправляют клиентам письма или сообщения от лица девелопера, предлагая перейти по вредоносным ссылкам.
 

Станислав Гончаров, руководитель F6 Digital Risk Protection:

Наша совместная работа со Sminex — пример зрелого подхода к защите бренда в киберпространстве. Мы видим своей задачей не просто борьбу с фейками, но и создание эталонных стандартов цифровой безопасности для защиты девелоперов и их клиентов.

➡️ Детали сотрудничества и его полные результаты — читайте в «Истории успеха» на сайте.

Экcперты F6 и Ideco расскажут, как защитить бизнес от киберугроз в 2025 году.

28 августа в 11:00 пройдет вебинар компаний F6 и Ideco. Один из его участников — ведущий пресейл-инженер F6 Михаил Милеев.

Почему этот вебинар нельзя пропустить:

〰️Киберугрозы в 2025 году эволюционировали — классические методы фильтрации уже не спасают. Эксперты расскажут, как этому противостоять.
〰️Вы узнаете не просто о текущих вызовах, но и о превентивных технологиях, способных сохранить бизнес.
〰️Цель вебинара — помочь перейти от устаревшей защиты к современным решениям и свести к минимуму риски.

Что на повестке:

💚 Анализ угроз 2025 года: что изменилось и как защитить бизнес?
💚 Почему классическая фильтрация трафика уже не работает — и что взамен?
💚 Эволюция технологий защиты: к чему адаптироваться сегодня?
💚 Как выбрать решение, которое подходит именно вашей компании?

РЕГИСТРАЦИЯ

Хочется безопасности, а не компромиссов? Этот вебинар — ваш шанс задать нужный вектор развития ИБ-стратегии 😎

📢 Кибератака — это жестокий сценарий, а не случайность. Хакеры проникают в сеть, блокируют системы и шифруют файлы. Последствия — финансовые потери, репутационный удар и даже закрытие бизнеса.

▪️ В первом полугодии было зафиксировано 154 новые публикации баз данных российских компаний на андеграундных форумах и в Telegram-каналах.
▪️ 37% утечек пришлось на ритейл-компании — одну из главных мишеней хакеров.
▪️ 198+ млн строк данных оказались в открытом доступе.

У каждой компании есть выбор:

🔴 Игнорировать киберугрозы — потерять клиентов, получить судебные иски и банкротство.
💚 Защитить бизнес — внедрить мониторинг 24/7, оперативное реагирование, получить защищенный периметр и непрерывную работу.

Как F6 обеспечивает комплексную защиту по всем векторам атак — читайте здесь.

Мошенники угоняют Google-аккаунты предпринимателей, приглашая их в фейковый Zoom.
  
Новый сценарий зафиксировали аналитики Digital Risk Protection F6. Цель злоумышленников — руководители и владельцы малого и среднего бизнеса.

Схема работает так ⬇️

1️⃣Мошенник связывается с потенциальной жертвой в Telegram, разыгрывая роль потенциального клиента. Он просит, например, проконсультировать его по услугам компании и предлагает сделать это в Zoom.

2️⃣Ссылку на встречу злоумышленник присылает сам, объясняя это бизнес-версией сервиса, в которой удобнее общаться. Ссылка содержит «лишние» символы и немного отличается от легитимной.
 
3️⃣Перейдя по ссылке, пользователь должен пройти несколько капч, а затем — ввести данные для входа в Google-аккаунт на фишинговой странице.

‼️Капча в данном случае может использоваться для противодействия автоматизированным инструментам информационной безопасности.

4️⃣После ввода данных учетной записи Google у жертвы запрашивают код подтверждения, который приходит в Telegram и нужен злоумышленникам для угона аккаунта в мессенджере.

‼️Для дополнительного давления на пользователя мошенник может писать или звонить с просьбой поторопиться.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Мы видим новую комбинированную фишинговую схему, нацеленную на пользователей в «бизнес-среде». Сценарий повторяет классические тактики мошенников. При этом явно ненастоящая ссылка на Zoom, необходимость вбивать логин и пароль, даже если они были сохранены в браузере, подозрительная капча, код Telegram — всё это должно заставить задуматься.

😉 Борьба с киберпреступностью

❗️ Звонки от «сотрудников банка», кража данных карт и конфиденциальной информации — эти и другие техники мошенничества уже собраны в едином антифрод-пространстве F6 Fraud Matrix.

В новой открытой базе знаний для всего антифрод-сообщества представлено уже более 10 актуальных схем мошенничества, и это только начало.

➡️ Регистрируйтесь в F6 Fraud Matrix с корпоративной почты

Анализируйте готовые схемы мошенничества, дополняйте матрицу новыми, боритесь с преступниками и защищайте свой бизнес 😎

Самый SOC 🔥 Как работают аналитики Центра кибербезопасности? Рассказывает команда F6!

В новом выпуске подкаста «Шестой отдел» в гостях у ведущего Дмитрия Черникова специалисты Центра кибербезопасности компании F6 — Алексей Федосеев и Владислава Смирнова.

Эксперты рассказали, как они пришли в кибербез, чем Центр кибербезопасности отличается от классического SOC и как изнутри выглядит процесс мониторинга и реагирования на ИБ-инциденты.

Хайлайты выпуска:

▪️ С какими киберугрозами приходится чаще всего сталкиваться в 2025 году?
▪️ Из каких этапов состоит реагирование на инцидент?
▪️ Мифы и легенды SOC.
▪️ Советы ребятам, которые хотели бы стать аналитиками SOC.

➡️ СМОТРЕТЬ В VK ВИДЕО
➡️ СМОТРЕТЬ НА RUTUBE
➡️ СМОТРЕТЬ НА YOUTUBE

⚡️ Папа не смог, но попытку засчитали. F6 обнаружила новый стилер — результаты исследования и индикаторы компрометации в материале.

🔍 В июне 2025 эксперты F6 Threat Intelligence зафиксировали серию вредоносных рассылок с вложениями на русском и английском языках. Внутри оказался новый стилер Phantom Stealer, основанный на коде Stealerium.

В рамках этой кампании, которую мы назвали Phantom Papa, злоумышленники нацелились на организации из сфер ритейла, промышленности, строительства и IT. Среди зараженных — устройства из 19 стран, включая Россию, Беларусь, Азербайджан. Среди зараженных устройств были найдены и виртуальные машины исследователей, что говорит об интересе специалистов к стилеру.

➡️ Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Phantom Stealer умеет:

▪️ красть пароли, криптокошельки, куки, данные мессенджеров;
▪️ записывать нажатия клавиш (кейлоггер);
▪️ обходить анализ (антианализ + поддержка обфускаторов);
▪️ запускаться при старте системы;
▪️ использовать Telegram, Discord или SMTP для передачи данных.

➡️ Эксперты F6 Threat Intelligence провели технический анализ Phantom Stealer — результаты исследования и индикаторы компрометации (IOC) уже доступны в новом блоге.