📢 «Перейти от тревожности к предметному разговору». Кирилл Дедов — о пользе Индекса кибербезопасности при защите периметра банков.

У финансовых организаций есть SOC, процессы ИБ и управление доступами. Но внешний периметр — сайты, приложения, забытые тестовые стенды — часто остаются уязвимыми. Именно через такие точки и проникают злоумышленники.

🎥 В новом видео рассказываем, как Индекс кибербезопасности F6 предоставляет чёткие источники данных, понятную методологию и привязку к бизнес-рискам, а также указывает: где уязвимость, чем она грозит и что делать.

Смотреть ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

⚡️ Дипфейки бойцов СВО: F6 обнаружила новую схему, нацеленную на участников спецоперации и их семьи.

Злоумышленники создают сайты-двойники благотворительных фондов, на которых под предлогом финансовой поддержки бойцов и их родных предлагают получать по ₽500 тыс./мес. за счет участия в фейковой инвестиционной программе. Для достоверности указывают, что программа якобы создана «по приказу президента», а «вклады застрахованы государством».

❗️ Для обмана мошенники размещают видеодипфейки с отзывами от имени участников СВО: на реальные кадры с бойцами накладывают чужие голоса. В схемах, направленных против участников спецоперации, использование этой технологии зафиксировано впервые.
 
▪️ Сценарий стандартный: оставление заявки на сайте и звонок от «персонального менеджера» с консультацией по инвестированию. Также злоумышленники могут предложить установить вредоносное приложение для получения контроля над устройством.

▪️ Основные приманки: сообщения в Telegram-чатах, объединяющих семьи участников СВО, реклама в интернете, спам-письма по электронной почте.

Специалисты F6 направили домены сайтов-двойников на блокировку.

😉 Борьба с киберпреступностью

Сколько стоит пробив клиента банка на теневом рынке? F6 всё изучила — показываем цифры ⬇️

Борьба за персональные данные ужесточается, и услуги пробива информации пользуются огромным спросом.

▪️ Средняя цена пробива клиентов российских банков выросла в 1,5 раза за год и в 3 раза за пять лет. Сейчас она составляет ₽10 000 — ₽15 000.

▪️ Цены на банковские аккаунты резко выросли — с ₽1000 в 2021 году до ₽28 000 в 2025-м. Это связано с внедрением дополнительных антифрод-систем, верификацией пользователей и блокировкой за любое подозрение в мошенничестве.

▪️ Теневые услуги по установлению личности по биометрии тоже стали дороже. С 2023 года стоимость увеличилась в 2,5 раза, до ₽13 000, а поиск по базам распознавания лиц в 2025-м обходится минимум в ₽30 000.

▪️ Стоимость серых SIM-карт на подпольных форумах практически не меняется последние годы и составляет ₽1500.

Лада Крюкова, руководитель отдела исследования и мониторинга андеграунда департамента киберразведки (Threat Intelligence) F6:

Ситуация на теневом рынке обусловлена тем, что организации и правоохранительные органы активно борются с инсайдерами, тщательно следят за предоставлением доступа к чувствительным данным, а это ведет к нестабильности рынка услуг незаконного распространения конфиденциальной информации о пользователях.

😉 Борьба с киберпреступностью

Город засыпает... просыпаются мошенники 👀 Они покупают неиспользуемые телефонные номера, взламывают аккаунты и продолжают свои дела в тени. Как распознать их схемы, которые куда сложнее, чем кажутся? Разбираемся на бесплатном вебинаре 🔥

«Мошенничество под контролем: разбор актуальных схем»

Когда?
30 сентября в 11:00

Что будем делать?
Выясним, как устроены схемы, описанные в F6 Fraud Matrix («Матрице фрода»), а также расскажем, как их детектировать с помощью F6 Fraud Protection в различных техниках матрицы.

Какие схемы рассмотрим?
▪️ Выкуп «спящих» номеров.
▪️ Ночные дети.
▪️ ВПО и NFCGATE.

➡️ Регистрируйтесь на вебинар и становитесь частью антифрод-сообщества!

Новые вымогатели на сцене 😧 Рассказываем, как устроена группировка Bearlyfy.

Специалисты F6 Threat Intelligence и Лаборатории цифровой криминалистики и исследования вредоносного кода F6 исследовали динамику развития новой группы и ее TTPs.

Что это за группировка?

Деятельность Bearlyfy впервые зафиксировали в начале 2025 года. Группа использует программы-вымогатели LockBit 3 (Black) и Babuk. Меньше чем за год участники Bearlyfy перешли от мелких атак к сложным кампаниям против крупных промышленных предприятий. Деятельность группировки пересекается с инфраструктурой другого известного игрока — PhantomCore.

Тактика и техники ⬇️

Bearlyfy использует модель атаки с минимальной фазой подготовки и прицельным фокусом на достижение немедленного эффекта. Начальный доступ осуществляется через эксплуатацию внешних сервисов и уязвимых приложений. Основной инструментарий направлен на шифрование, уничтожение или модификацию данных. Атаки развиваются быстро, с применением стандартных средств lateral movement и RMM-инструментов.

Часть инструментов группировки — модифицированные версии утилит с открытым исходным кодом. Записки с требованием выкупа создаются не программами-вымогателями, а непосредственно атакующими.

➡️ Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Главные цифры ⬇️

▪️ На август 2025 года количество жертв группировки — не менее 30.
▪️ В последней зафиксированной атаке злоумышленники запросили €80 тыс. в криптовалюте.
▪️ Каждая пятая жертва выкупает у злоумышленников декрипторы.

Как связаны Bearlyfy и PhantomCore?

PhantomCore — группа, атакующая российские и белорусские компании с 2022 года, впервые обнаруженная специалистами F6 в 2024 году. Группа, вероятно, действует в интересах Украины, поскольку именно оттуда были впервые загружены тестовые образцы самописных ВПО.

▪️ В апрельской атаке группа Bearlyfy использовала MeshAgent. Анализ семпла позволил выявить список серверов. Часть указанной инфраструктуры использовалась группировкой PhantomCore при проведении атаки на российскую промышленную компанию в марте 2025 года.
▪️ IP-адрес, используемый в июньской атаке на консалтинговую компанию, также связан с одной из атак PhantomCore.

Подробнее о новой группировке Bearlyfy — читайте в нашем блоге.

📢 «Июль 2025-го стал самым кровавым месяцем на цифровом фронте». Анастасия Меркулова, директор по маркетингу F6 — в интервью на «РБК Компании».

Тезис «Меня это не коснется» больше не работает. Почти половина промышленных компаний остаются в зоне критического риска. Цена ошибки — клиенты, выручка и доля на рынке.

Директор по маркетингу F6 Анастасия Меркулова в экспертном интервью рассказала:

〰️как за один месяц остановились авиаперевозки, фарма и ритейл, а миллионы людей впервые ощутили атаку лично;
〰️почему ритейл обогнал банки по доле фишинговых атак;
〰️каковы новые тактики группировок;
〰️что чаще всего упускают ИБ-подразделения компаний;
〰️как Индекс кибербезопасности показывает уязвимости глазами атакующих и превращает хаос сигналов в понятный план действий.

➡️ Читать интервью

EDR 3.0 🔥 F6 разработала EDR-агент, поддерживающий отечественные ОС.

Все больше компаний переходит на российские операционные системы. Злоумышленники учитывают эту тенденцию и адаптируют инструменты под Linux.

‼️Ответная модификация средств защиты — острая необходимость для бизнеса.

Особенности F6 EDR 3.0:

▪️ Поддержка отечественных ОС: RedOS, Astra, POCA и др.
▪️Собственный protector-модуль, не позволяющий удалить агент даже с высокими привилегиями.
▪️ Передача телеметрии с использованием прокси-сервера.
▪️ Единый локальный интерфейс для взаимодействия с агентом на всех ОС.
▪️ Расширенный сбор телеметрии для глубокого поиска скрытых угроз и повышения качества детекта без влияния на производительность ОС.

Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз (MXDR) F6:

С выходом версии 3.0 F6 закладывает архитектурную основу для будущих обновлений — гибкую и быструю платформу, в рамках которой клиенты смогут получать улучшения и новые функции еще быстрее. В ближайшее время планируется выход нового EDR-агента для Windows и MacOS.

➡️ Узнать больше о F6 EDR

📢 Этим летом Павел Серов, руководитель Security Operations Center (SOC) «Столото», крупнейшего распространителя государственных лотерей в России, прошел обучение по курсам от компании F6 «Криминалистика Linux» и «Тестирование на проникновение».

Зачем топ-менеджерам обучение по информационной безопасности и можно ли рекомендовать курсы от F6 коллегам — Павел рассказал в этом видео.

В интервью:

▪️Почему выбрали курсы от F6?
▪️Что из материалов курсов уже пригодилось в работе?
▪️Оценка работы тренеров F6.

Смотрите на любой удобной платформе⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

«Мамонт» не прижился в Беларуси 📍 Чем отличается ландшафт скама и что угрожает жителям Республики — в большом исследовании F6.

Активное противодействие мошенникам в России привело к тому, что организаторы криминального бизнеса стали присматриваться к странам, где пользователи не менее доверчивы и тоже при деньгах. Беларусь одной из первых встретила нашествие схем, заимствованных киберпреступниками из России.

Особенности атак ⬇️

▪️ Мошенники практически не используют домены .by. Защита доменной зоны .by от мошеннических ресурсов укрепляется, в том числе благодаря соглашению между F6 и белорусским провайдером hoster.by. Мошенники создают сайты в других доменных зонах, чтобы продлить срок их «жизни».

▪️ «Мамонт» не прижился. Группы, которые работают по этой схеме на международном уровне, обходят Беларусь по причине слаженной работы банков и правоохранителей.

▪️ Банковские личные кабинеты угоняют через Telegram-боты. Это уникальный сценарий обмана, который используется только в Беларуси.

Топ-8 популярных схем скама, используемых против пользователей из Беларуси ⬇️

1️⃣Инвестиционное мошенничество.
Адаптация схемы не слишком затратна: достаточно подстроить «российские» шаблоны под местные новости и региональную специфику.

2️⃣Розыгрыши от имени банков.
Отличие от России — только в сумме «подарка». Россиянам обычно обещают перевести на карту 3000 рублей, а белорусам — в пять раз больше: 600 белорусских рублей (более 16 000 ₽).

3️⃣Фишинг банковских аккаунтов через Telegram-боты.
Рекламу мошеннических ботов размещают в соцсетях или рассылают через мессенджеры.

4️⃣Угон аккаунтов Telegram и WhatsApp.
Одна из самых популярных приманок — фейковое голосование в духе «У меня дочка в конкурсе участвует, проголосуй, пожалуйста» со ссылкой на сторонний ресурс.

5️⃣Блокировка iPhone через авторизацию в iCloud злоумышленника.
После того, как пользователь авторизуется в аккаунт мошенника, его устройство блокируют. Далее — требование выкупа без гарантий.

6️⃣Фейковые компенсации.
Приманка — реклама мошеннических сайтов, которые предлагают получить «официальную компенсацию» от государства. Но есть нюанс: оплата «комиссии».

7️⃣Фишинг на почтовые компании.
Пользователям приходит сообщение о посылке, которую не могут доставить, например, из-за неточного адреса. Ссылка уводит на мошеннический сайт.

8️⃣Фейковые опросы.
Приманка — подарок от известного бренда за участие в опросе.

❗️ Подробнее о ландшафте скама в Беларуси и о том, как в стране борются с киберпреступниками — читайте в блоге.

⚡️ Аналитики Центра кибербезопасности F6 обнаружили новую волну вредоносных рассылок от группы Hive0117.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.

24 сентября ЦК F6 зафиксировал после нескольких месяцев затишья новую активность трояна DarkWatchman RAT. Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz. Аналогичная рассылка была также обнаружена в июне и июле.

🔍 В ходе анализа индикаторов было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz. Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане. В списке — 51 адресат (банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT).

‼️DarkWatchman RAT также распространялся под видом архива якобы от Минобороны и лже-повесток. Во всех случаях атаки были нейтрализованы системой для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз F6 Managed XDR.

➡️ Анализ одного из вредоносных вложений на Malware Detonation Platform от компании F6.

Станьте кибердетективом 😎 F6 открыла запись на октябрьские курсы.

1️⃣ Реагирование на инциденты ИБ

Когда? 14–16 октября 2025.
Кто? Михаил Николаев, старший тренер Центра обучения F6.
Чему научитесь: анализировать атаки по фреймворкам Cyber-Kill Chain и MITRE ATT&CK, собирать криминалистические данные и анализировать артефакты Windows, создавать и отрабатывать план реагирования на реальных кейсах.

2️⃣ Исследование киберпреступлений

Когда? 22–23 октября 2025.
Кто? Специалисты департамента расследований высокотехнологичных преступлений F6.
Чему научитесь: исследовать атаки с использованием Dark Web и открытых данных, а также выявлять и анализировать цифровые следы атакующих.

Оба курса подходят для сотрудников SOC, CERT и других ИБ-специалистов, которые хотят повысить квалификацию.

🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте edu@f6.ru.

Делитесь информацией о курсах с теми, кому они актуальны ❤️

🎥 Как не попасться на крючок мошенников и куда обращаться, если это вдруг произошло? Подробно объясняем в видео!

Многие пользователи до сих пор не понимают, как защитить данные в эпоху масштабных кибератак. Но теперь у них есть надежный помощник — наш видеокурс и платформа «Антифишинг».

В первом выпуске Эвелина Переходюк, эксперт F6 и старший аналитик первой линии CERT, рассказывает:

💚 как злоумышленники маскируются под легальные сервисы и какие уловки используют;
💚 как выглядит классическая схема фишинга;
💚 как вовремя распознать обман;
💚 куда обращаться, если стали жертвой мошенников.

Платформа «Антифишинг» от F6 позволяет каждому пользователю внести свой вклад в борьбу с киберпреступностью ⬇️

❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу. Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки.

Будьте начеку, смотрите видео на любой удобной платформе и делитесь им с каждым ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

⭐️ Последнее время участились случаи угона аккаунтов знаменитостей — с их страниц мошенники уводят пользователей на фишинговые ресурсы. F6 исследовала эти схемы, подробный отчет — в блоге.

Основной сценарий — «беспроигрышные» фейковые лотереи и розыгрыши. Продвижение фишинговых и скам-ресурсов мошенники реализуют с использованием образов известных брендов, медийных персон или напрямую с их официальных (взломанных) аккаунтов в соцсетях. Также ссылки на мошеннические ресурсы продвигают через Telegram-чаты, email-рассылки и соцсети.

Элина Ганиева, ведущий аналитик Digital Risk Protection F6:

Использование на ресурсах изображений известных брендов и публичных личностей повышает кредит доверия со стороны потенциальных жертв и, тем самым, увеличивает прибыль тех, кто зарабатывает на обмане.

⚙️ Схема работает так: жертва переходит по ссылке на страницу с фиктивным розыгрышем, а потом либо сама переводит деньги по реквизитам (например, под предлогом оплаты комиссии), либо вводит данные карты для получения приза — а злоумышленники получают к ней доступ.

Главные цифры ⬇️
 
〰️Аналитики Digital Risk Protection F6 заметили 10 активных мошеннических партнерских программ, нацеленных на россиян.
〰️За последний год доход мошенников в двух таких программах мог превысить 300 млн руб.
 〰️Аналитики обнаружили 100+ шаблонов-офферов, в 45% из них используются лица знаменитостей, в 60% — изображения известных брендов (часть сайтов используют образы селебрити и брендов одновременно).

Детали исследования — в новом блоге.

❗️ На один крупный бренд ежедневно создается до 20 атакующих ресурсов. Как бизнесу защитить себя — объясняем.

Скам стал системной угрозой для брендов. Каждый день появляются поддельные сайты, аккаунты и приложения, которые используют названия компаний, чтобы обмануть клиентов. Число новых скам-доменов только за полгода превысило 3 500.

Для бизнеса это не только финансовые потери, но и снижение доверия, репутационные риски.

В свежей статье эксперты 🙃 объяснили:

▪️ чем скам отличается от фишинга и почему он опаснее для бизнеса;
▪️ какие отрасли чаще всего под ударом;
▪️ какие ошибки совершают компании при противодействии;
▪️ как F6 Digital Risk Protection помогает блокировать до 90% мошеннических ресурсов еще до того, как пострадают клиенты.

➡️ ЧИТАТЬ

Friendly reminder ⚡️ Через два дня встречаемся на вебинаре с экспертами Digital Risk Protection F6 😎

Бренды находят в цифровой среде новые возможности, а вместе с ними и серьезные угрозы — поддельные аккаунты, фишинговые сайты, утечки, репутационные атаки.

2 октября в 11:00 на вебинаре «Как защитить бренд с Digital Risk Protection. Практические кейсы и ключевые риски» обсудим:

▪️ почему бренду нужна защита;
▪️ актуальные угрозы в 2025 году;
▪️ реальные кейсы;
▪️ DRP как часть стратегии бренда.

‼️Вебинар будет полезен для руководителей, ИБ-специалистов и всех, кто отвечает за развитие и защиту бренда в диджитал.

➡️ РЕГИСТРАЦИЯ

Пересылайте этот пост коллегам! Увидимся 2 октября в 11:00 😎