Чего не хватает компаниям для эффективной защиты? Объясняем!

Даже с дорогими инструментами компании сталкиваются с инцидентами. И вот почему это происходит.

1️⃣ Процессы ИБ еще не выстроены.
Установка антивирусов и других инструментов не означает, что вопрос безопасности закрыт. Это заблуждение.

2️⃣ Есть ИБ-отдел, но времени и ресурсов не хватает.
Часто фокус смещается на рутину: команда тратит время не на расследование, а на то, чтобы распознать ложные срабатывания.

3️⃣ Отсутствует экспертиза в расследовании.
Даже заблокированная активность — это не финал атаки. Если нет должного анализа событий, никто не остановит злоумышленников — они сменят тактику и найдут лазейку.

Как выстроить эффективный мониторинг и реагирование?
Рассказываем в новой статье.

Внутри ⬇️

▪️сигналы недостаточной защиты;
▪️три кита киберзащиты;
▪️как F6 обеспечивает кибербезопасность на основе XDR.

➡️ ЧИТАТЬ СТАТЬЮ

Threat Intelligence vs. TI Platform. Что выбрать бизнесу — разбираемся.

Команды безопасности всё чаще путают два разных инструмента. В итоге получают красивую панель, но без уникальных данных, или, наоборот, аналитику, которую сложно встроить в процессы. И это 👎

🟣 Threat Intelligence (TI) — это разведка: собственные данные об угрозах, собранные аналитиками. Она отвечает на вопросы — кто атакует, зачем и как. Это качественное «топливо» для защиты.

🟣 Threat Intelligence Platform (TIP) — это инфраструктура: автоматизация, интеграции, графы и визуализации. Но без внешних источников она сама данные не создает.

‼️ TIP без TI превращается в пустую оболочку. А TI без TIP — в набор ценных, но трудно применимых сведений.

Бизнесу нужна связка: TI отвечает за глубину и контекст, а TIP — за интеграцию данных в инфраструктуру и ускорение реагирования.

💚 F6 Threat Intelligence — это уникальные данные и аналитика, собранные нашими экспертами. Их можно сразу подключить к SIEM, SOAR, XDR и другим системам.

➡️ ЧИТАТЬ СТАТЬЮ ПОЛНОСТЬЮ

❗️ Final call на наши сентябрьские курсы. Осталось несколько мест 💚

1️⃣ Сетевая криминалистика

Когда? 9–10 сентября.
Кто? Михаил Николаев, старший тренер по кибербезопасности F6.
Зачем? Чтобы эффективно собирать сетевые цифровые доказательства для расследования инцидентов; расследовать инциденты различной сложности, используя сетевые артефакты; применять данные киберразведки для повышения точности расследования.

2️⃣ Исследование атак шифровальщиков

Когда? 23–25 сентября.
Кто? Михаил Николаев, старший тренер по кибербезопасности F6.
Зачем? Чтобы разобратьтся в тактиках злоумышленников, освоить хостовую криминалистику и научиться атрибутировать атакующих на реальных кейсах.

🟣 Детали о курсах и их стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

Под маской благотворительности 😧 F6 зафиксировала новый сценарий финансового мошенничества с переводами в «Русфонд».

Что произошло?
В августе сотрудники благотворительного фонда «Русфонд» обратились в F6 за консультацией. В течение семи месяцев им поступали странные перечисления (₽13–14 тыс.) с пометкой «Платеж себе». Впоследствии пользователи просили вернуть эти пожертвования, так как перевод якобы произошел против воли.
 
Как работает схема?
〰️Злоумышленники завлекают рекламой, которая предлагает получить дивиденды от продажи природных ресурсов, участие в фейковой программе «ГосБонус» или несуществующие соцвыплаты.

〰️Откликаясь на рекламу, жертва переходит на фейковый сайт и оставляет контакты — так с ней связываются сотрудники мошеннического колл-центра.
  
〰️Преступники представляются сотрудниками инвестпроектов российских банков и сообщают, что выплаты производятся через благотворительные фонды. Для активации счета нужно сделать перевод в фонд (реквизиты реальные).
 
‼️Первая «инвестиция» действительно «растет» — положительную динамику злоумышленники показывают для укрепления доверия.

〰️В дальнейшем преступники предлагают вывести «заработанное». Пользователя просят зайти на фишинговый сайт и ввести данные паспорта, карты, СМС-код.
 
Сколько похитили? 
Только в «Русфонд» с февраля по август 2025 года поступили переводы минимум от 356 человек на общую сумму ₽4,6+ млн — эти деньги пострадавшим теперь возвращает организация. Все детали о новой схеме — в релизе.

😉 Борьба с киберпреступностью

👀Как не стать жертвой дипфейка?

Недавно киберпреступники пытались атаковать нашего эксперта Сергея Золотухина. Они взломали Telegram-аккаунт его знакомого, выгрузили реальные голосовые сообщения и пытались использовать голос для обмана всего списка контактов.

➡️ История полностью и рекомендации F6 — в новом выпуске «Кибершпаргалки».

Почему утечки данных продолжаются, несмотря на DLP и штрафы? Прямой эфир AM Live — с кейсами, практикой и экспертизой от F6.

‼️Потери от утечек становятся всё серьезнее: страдают крупные компании, госструктуры, финсектор. От внутренних факторов часто не спасают даже системы защиты.

Что не так с текущим подходом к защите конфиденциальных данных и что влияет на эффективность технологий — обсудят эксперты.

Участие в эфире примет Роман Сюбаев, руководитель отдела оценки соответствия и консалтинга F6. И вот что он подготовил:

▪️ разбор ошибок внедрения;
▪️ примеры реальных инцидентов;
▪️ рекомендации по построению системы защиты, которая не будет фикцией.

➡️ РЕГИСТРАЦИЯ

📢 «Пароль от архива отправили вам в мессенджере»

Атакующие идут на ухищрения, чтобы обойти автоматическую проверку вложений:

▪️отправляют архив в письме, а пароль к нему — в мессенджере или SMS;
▪️пишут иносказательно: «пароль — нынешний год».

Новый функционал F6 Managed XDR поможет остановить угрозу при таких сценариях. Как именно — смотрите в видео 🎥

Архив будет проверен, даже если не удалось найти пароль в письмах и соседних вложениях.

Как это работает:
1️⃣Если не удалось расшифровать вложение автоматически, оно заменяется на ссылку.
2️⃣Получатель по ссылке переходит на портал, где вводит пароль, полученный любым способом.
3️⃣Файл временно расшифровывается и передается в MDP для поведенческого анализа.
4️⃣Вредоносное ПО будет обнаружено и заблокировано.

Как настроить:
▪️UI → Настройки → Модули → NTA → Основные настройки → Почта
▪️UI → Настройки → Модули → BEP → Основные настройки → Политика и обнаружение

Оцените новый уровень работы с архивами!

➡️Узнать больше о F6 Managed XDR

⚡️Практический кейс! Как обнаружить активность и следы компрометации на ранней стадии — объясняем.

Злоумышленники часто проникают внутрь через заброшенные сервисы и уязвимый внешний периметр. Выявить такую активность на ранней стадии — ключ к защите.

В нашей новой статье на «Хабр» специалисты Центра кибербезопасности F6 на реальном кейсе подробно разбирают, как проактивный мониторинг помогает выявить и локализовать инцидент до того, как он станет проблемой.

➡️ ПРОЧИТАТЬ КЕЙС

Какие новости у пиратов? 👀Они потеряли в доходах и начали скрывать азбукой Морзе названия и описания своих фильмов.
 
Подводим итоги исследования рынка онлайн-пиратства в России в I полугодии 2025 года.

Главные цифры ⬇️

▪️ Доходы упали на 14,5% год к году — до $16,6 млн.

▪️ Регистрация пиратских доменов выросла на 27,4% — до 79 000 (издержки активной успешной блокировки).

▪️ Трафик поисковых запросов на пиратские порталы сократился на 13,9% по сравнению с I полугодием 2024-го. Причина — прирост пользователей легальных стримингов и усиление борьбы с пиратскими ресурсами.

▪️ Средний CPM на пиратских ресурсах — $3,11, что на 0,6% и на 2,2% меньше, чем за аналогичный период 2024-го и 2023-го.

Новые уловки пиратов ⬇️

1️⃣Структура ссылок. Теперь пираты переименовывают путь на страницу с искомым фильмом и сериалом в произвольные буквы и цифры, в отдельных случаях путь — домен третьего уровня.

2️⃣Домены, созвучные известным брендам, — например, популярному сайту-поисковику. Это делают для снижения подозрений в пиратской деятельности.

3️⃣Шифрование текста рекламы пиратских фильмов. Например, злоумышленники публикуют описание и названия лент азбукой Морзе (но и этот ход мы распознали 😎).

➡️ ЧИТАТЬ ПОДРОБНЕЕ

Как злоумышленники «ловят на крючок» в почте?

1️⃣ Притворяются отправителем, которому можно доверять: коллегой, руководителем, партнером, подрядчиком.

2️⃣ Прячут фишинг за «приманкой»: коммерческим предложением, актом сверки, сообщением о скидке или необходимости обновить пароль.

3️⃣ Крадут данные: обманом побуждают ввести логин и пароль или действуют незаметно — используют шпионское ПО.

Как работают фишинговые рассылки и как защититься от них — узнайте из новой статьи.

Внутри:
▪️Признаки и примеры фишинговых писем
▪️Руководство по защите почты
▪️Как F6 BEP защищает от фишинга

➡️ ЧИТАТЬ СТАТЬЮ

❗️ Популярные приложения для доставки еды, маркетплейсы и трекинг посылок — под безобидными сервисами киберпреступники маскировали троян DeliveryRAT.

Как F6 и RuStore заблокировали более 600 распространявших троян доменов — читайте в блоге.

Главное ⬇️
 
▪️ Андроид-троян DeliveryRAT заражал мобильные устройства вредоносным ПО для кражи денег и конфиденциальных данных.

▪️ Аналитики F6 и RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру злоумышленников.

▪️ На вредоносные ресурсы для установки ВПО жертв привлекали минимум три скам-группы.
  

Евгений Егоров, ведущий аналитик Digital Risk Protection F6:

Чтобы атаковать жертву, злоумышленники используют хитроумные сценарии: фейковые объявления о купле-продаже или поддельные объявления о найме на удаленную работу с высокой зарплатой. Дальше диалог с жертвой переводят в мессенджеры и уговаривают установить мобильное приложение, которое оказывается вредоносным. 

  
Все подробности — в новом блоге.

585 GOLD и F6: как защитить цифровой периметр. Реальный кейс 😎

Ювелирная сеть 585 GOLD управляет более чем 1000 магазинами и онлайн-площадками. При такой инфраструктуре критично контролировать внешний цифровой периметр.

⚙️ Чтобы снизить риски и закрыть уязвимости, компания внедрила F6 Attack Surface Management.

Результаты ⬇️

▪️проведена инвентаризация доменов, сайтов, облачных сервисов и тестовых сред;
▪️устранены критические уязвимости на внешних ресурсах;
▪️удалены устаревшие и неиспользуемые активы;
▪️настроен мониторинг возможных утечек данных;
▪️внедрена приоритизация устранения рисков.

Опыт 585 GOLD показывает, что системный подход к управлению цифровыми активами позволяет контролировать угрозы и повышать устойчивость бизнеса.

➡️ Скачать полную «Историю успеха» 585 GOLD

📢 «Позже — будет дороже и больнее». Евгений Чунихин — о защите бизнеса от киберпреступности, «слепых зонах» и Индексе кибербезопасности.

Кибератаки случаются каждый день. Под ударом любая компания — от малого бизнеса до корпорации. От уровня защиты зависит доверие клиентов, партнеров и реальное конкурентное преимущество на рынке.

🎥 В новом видео объясняем, почему цифровая устойчивость и кибербезопасность уже не только технические, но и репутационные факторы.

Также в интервью:

▪️ где внутренняя команда может не заметить «слепые зоны» в безопасности;
▪️ какие риски прячутся во внешнем периметре: забытые домены, открытые API, учетные записи сотрудников в сети;
▪️ как Индекс кибербезопасности показывает инфраструктуру глазами злоумышленника и помогает выстроить четкий план действий;
▪️ какие сигналы в даркнете и утечки могут указывать на подготовку атаки;
▪️ зачем бизнесу независимая оценка и аналитика, чтобы реагировать не постфактум, а на шаг раньше.

Смотреть видео ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

😧 Мошенники стали чаще использовать детей в своих схемах. Чаще всего они атакуют детей в возрасте 10-14 лет — в онлайн-играх Roblox или Minecraft.

Что именно они пишут детям — смотрите в скринкасте.

😉 Борьба с киберпреступностью

Победители определены 🏆 Подводим итоги CTF от F6!

Месяц назад мы предложили вам проверить силы в реверс-инжиниринге и решить головоломку. Задание не было синтетическим — оно создано по реальному кейсу, когда специалисты F6 помогли одному из детских садов на Кубани с расшифровкой файлов после атаки с использованием программы-вымогателя.

🏆 Объявляем победителей — только им удалось правильно решить нашу задачу ⬇️

1️⃣ Станислав Р.
2️⃣ Александр Г.
3️⃣ Gleb
4️⃣ Денис И.
5️⃣ Владлен Г.
6️⃣Святослав К.
7️⃣ Даниил Г.
8️⃣ Александр Х.

Публикуем правильный ответ от экспертов F6 ⬇️

Для решения задания участникам CTF необходимо было проанализировать код программы-вымогателя, чтобы определить алгоритм шифрования и получить ключ, использованный для шифрования файла с флагом. Некоторые участники, получив ключ, поспешили расшифровать файл и увидели в верхней расшифрованной части изображения фиктивный флаг (z3r0_tol3ranc3_f0r_cybercr1m3).

Разработчики программы-вымогателя допустили ошибки, в результате которых файлы размером 10-20 мегабайт шифруются программой некорректно. В этом и был подвох задания. Чтобы корректно расшифровать файл полностью, требовалось разобраться в расположении зашифрованных блоков для таких файлов и правильно определить размер оригинального файла. При успешной расшифровке файла в нижней части изображения отобразится правильный флаг (k0nv3r7_hor0$h1j_r@n$0m_z10j).

Поздравляем победителей! Компания F6 свяжется с вами по электронной почте, указанной при прохождении задания.

💜 — если хотите больше подобных киберголоволомок из реальных кейсов

«Столото» и F6 рассказали, как обеспечивают безопасность участников лотерей от мошенников, — специально для Forbes.

Участники государственных лотерей от «Столото» на конец 2024 года выиграли уже более ₽310 млрд. В том числе в стране появилось уже более 10 000 лотерейных миллионеров и 4 лотерейных миллиардера. Разумеется, эти суммы привлекают внимание скамеров, которые пытаются строить свои схемы.

〰️ В целом в 2024 году среднее число поддельных ресурсов на один российский бренд выросло на 28% — с 7878 до 10 112.

〰️ Среднее количество создаваемых фишинговых сайтов на один бренд увеличилось на 52% по сравнению с 2023 годом, мошеннических ресурсов — на 18%.

Станислав Гончаров, руководитель Digital Risk Protection F6:

Рост угроз объясняется продолжающимся развитием мошеннических сообществ и партнерских программ, низким порогом входа в преступную деятельность, автоматизацией схем.

Противостояние атакам заставляет мошенников переключаться на менее защищенные бренды и индустрии.

‼️ Практика показывает: количество мошеннических сайтов быстро сокращается, если компания активно защищает свой бренд и использует современные технологии для борьбы с цифровой преступностью.

Эффективность этого подхода демонстрирует и деятельность по предотвращению действий мошенников, мимикрирующих под лотерейные бренды.

💚 По данным «Столото» и F6, в первом полугодии 2022 года было заблокировано 18 709 ресурсов мошенников, действовавших под видом гослотерей и нелегально использовавших их бренды. В первом полугодии 2023 года их число снизилось до 7358, а в первом полугодии 2024-го — до 3491.

😉 Борьба с киберпреступностью

Какие мошеннические схемы используют злоумышленники? Это и многое другое разберем на вебинаре с экспертами Digital Risk Protection F6.

Бренды находят в цифровой среде новые возможности, а вместе с ними и серьезные угрозы — поддельные аккаунты, фишинговые сайты, утечки, репутационные атаки.

2 октября в 11:00 встречаемся на вебинаре «Как защитить бренд с Digital Risk Protection. Практические кейсы и ключевые риски»

Вот что обсудим вместе с экспертами ⬇️

▪️ Почему бренду нужна защита? Узнаем, как репутационные и финансовые риски влияют на развитие компании и доверие клиентов.
▪️ Актуальные угрозы в 2025 году. Объясним, к каким сценариям атак стоит готовиться бизнесу уже сегодня.
▪️ Реальные кейсы. Поделимся практическими примерами и результатами внедрения Digital Risk Protection.
▪️ DRP как часть стратегии бренда. Поговорим о том, почему DRP становится обязательным элементом в системе кибербезопасности и цифрового роста компаний.

‼️Вебинар будет полезен для руководителей, ИБ-специалистов и всех, кто отвечает за развитие и защиту бренда в диджитал.

➡️ РЕГИСТРАЦИЯ

Пересылайте этот пост коллегам! Увидимся 2 октября в 11:00 😎

⚡️ Как действует новая киберпреступная группа ComicForm? Аналитики F6 изучили ее атаки — рассказываем.

Департамент киберразведки F6 (Threat Intelligence) с мая по август фиксирует рассылки, направленные на компании из сфер финансов, туризма, биотехнологий, исследований и торговли.

Сценарий атаки ⬇️

▪️Сотрудникам приходили вредоносные письма под темами: «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и др.

▪️Письма подталкивали пользователей открыть вложения со спрятанной вредоносной программой-загрузчиком, которая устанавливала на компьютер жертвы стилер FormBook для кражи данных.

➡️ Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).
 
❗️ Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на GIF-изображения с супергероями, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя ComicForm.
 
▪️Для фишинговых рассылок злоумышленники используют адреса, зарегистрированные на доменах верхнего уровня .ru, .by и .kz. Характерный признак группы — использование в качестве обратного адреса ящика rivet_kz@..., зарегистрированного в бесплатном российском почтовом сервисе.

▪️Помимо вредоносных вложений, злоумышленники используют поддельные страницы сервисов для хранения документов. Переходя по ссылке из письма, жертвы попадали на фишинговые формы авторизации, откуда их данные переправлялись на удаленные серверы преступников.

Подробнее о новой киберпреступной группировке ComicForm и ее атаках — в новом блоге TI F6.

Как атакуют через почту в 2025 году? Ответ — в новом White Paper «Как защитить почту от сложных угроз» с примерами опасных рассылок и тенденциями.

Разбираем сценарии атак через почту и как от них защищает F6 Business Email Protection:

▪️«Документ во вложении, пароль: 123»
Как маскируют вредоносные программы, почему их сложно распознать и как F6 BEP детонирует ВПО.

▪️Письмо от начальства: «Срочно ознакомьтесь», «Переведите оплату подрядчику»
BEC-атаки: как это работает, какие хитрые трюки используют злоумышленники, чтобы обмануть сотрудников.

▪️ «Обновите пароль по ссылке»
Фишинг: как его маскируют и что происходит с письмом «с ловушкой» при проверке в F6 BEP.

➡️ ПОЛУЧИТЬ МАТЕРИАЛ

Потерять данные — неприятно, а не знать, что делать — ещё хуже. Как справиться с обеими ситуациями — объясняем в подробном гайде.

Инцидент с утечкой ПДн — это не только техническая проблема, но и комплекс юридических, процессных и коммуникационных вызовов. Пошаговый гайд от экспертов F6 убережет от паники, штрафов и потери доверия в случае, если вашим персональным данным вдруг устроили побег.

Внутри — ответы на ключевые вопросы:

💚 Какой порядок действий предписан законодательством РФ?
💚 Как работают оборотные штрафы и как оценить потенциальные убытки?
💚 Каких действий важно избегать в первые часы после инцидента?
💚Какие меры помогут минимизировать риски и последствия?

Обязательно прочитайте этот материал, сохраните его и перешлите коллегам.

➡️ Читать гайд

Надеемся, он вам не пригодится, но быть готовыми к инциденту надо всегда

SOC F6 впервые вошел в обзор российского рынка коммерческих SOC от Anti-Malware 🔥

Мы можем говорить о наших мощных продуктах бесконечно, но на этот раз за нас это сделали обозреватели Anti-Malware.

Российский рынок коммерческих центров мониторинга ИБ (SOC) становится конкурентнее и технологичнее. Тем ценнее войти в обзор и стать одним из почетных вендоров 👍

Anti-Malware:

F6 предлагает инновационный подход к кибербезопасности через сервис SOC MDR. В отличие от традиционных решений, ориентированных на пассивный мониторинг, F6 реализует активную модель защиты, где специалисты не просто фиксируют угрозы, а оперативно нейтрализуют их без необходимости вмешательства клиента.

Основа сервиса — комбинация технологий и экспертизы. F6 ежедневно обновляет базу знаний о злоумышленниках и способах реализации атак. На основе данных собственной киберразведки, а также данных полученных в рамках оказания услуг лаборатории компьютерной криминалистики, специалисты SOC MDR используют актуальные технические и тактические данные для реализации механизма обнаружения и выстраивания правильной стратегии реагирования на выявленные угрозы.

‼️Главный вывод: команда F6 не только отслеживает подозрительную активность, но и берет на себя весь процесс реагирования — от анализа до устранения угроз. Благодаря этому клиент получает защиту, не отвлекаясь на технические детали и сохраняя концентрацию на собственных задачах.

⭐️ И бонус для тех, кто пропустил!
Один из выпусков подкаста «Шестой отдел» мы посвятили именно нашему SOC ➡️ Как выглядит процесс мониторинга и реагирования на ИБ-инциденты, мифы и легенды SOC и еще много интересной внутрянки — на VK Видео, RUTUBE и YOUTUBE.