Сколько стоит пробив клиента банка на теневом рынке? F6 всё изучила — показываем цифры ⬇️

Борьба за персональные данные ужесточается, и услуги пробива информации пользуются огромным спросом.

▪️ Средняя цена пробива клиентов российских банков выросла в 1,5 раза за год и в 3 раза за пять лет. Сейчас она составляет ₽10 000 — ₽15 000.

▪️ Цены на банковские аккаунты резко выросли — с ₽1000 в 2021 году до ₽28 000 в 2025-м. Это связано с внедрением дополнительных антифрод-систем, верификацией пользователей и блокировкой за любое подозрение в мошенничестве.

▪️ Теневые услуги по установлению личности по биометрии тоже стали дороже. С 2023 года стоимость увеличилась в 2,5 раза, до ₽13 000, а поиск по базам распознавания лиц в 2025-м обходится минимум в ₽30 000.

▪️ Стоимость серых SIM-карт на подпольных форумах практически не меняется последние годы и составляет ₽1500.

Лада Крюкова, руководитель отдела исследования и мониторинга андеграунда департамента киберразведки (Threat Intelligence) F6:

Ситуация на теневом рынке обусловлена тем, что организации и правоохранительные органы активно борются с инсайдерами, тщательно следят за предоставлением доступа к чувствительным данным, а это ведет к нестабильности рынка услуг незаконного распространения конфиденциальной информации о пользователях.

😉 Борьба с киберпреступностью

Город засыпает... просыпаются мошенники 👀 Они покупают неиспользуемые телефонные номера, взламывают аккаунты и продолжают свои дела в тени. Как распознать их схемы, которые куда сложнее, чем кажутся? Разбираемся на бесплатном вебинаре 🔥

«Мошенничество под контролем: разбор актуальных схем»

Когда?
30 сентября в 11:00

Что будем делать?
Выясним, как устроены схемы, описанные в F6 Fraud Matrix («Матрице фрода»), а также расскажем, как их детектировать с помощью F6 Fraud Protection в различных техниках матрицы.

Какие схемы рассмотрим?
▪️ Выкуп «спящих» номеров.
▪️ Ночные дети.
▪️ ВПО и NFCGATE.

➡️ Регистрируйтесь на вебинар и становитесь частью антифрод-сообщества!

Новые вымогатели на сцене 😧 Рассказываем, как устроена группировка Bearlyfy.

Специалисты F6 Threat Intelligence и Лаборатории цифровой криминалистики и исследования вредоносного кода F6 исследовали динамику развития новой группы и ее TTPs.

Что это за группировка?

Деятельность Bearlyfy впервые зафиксировали в начале 2025 года. Группа использует программы-вымогатели LockBit 3 (Black) и Babuk. Меньше чем за год участники Bearlyfy перешли от мелких атак к сложным кампаниям против крупных промышленных предприятий. Деятельность группировки пересекается с инфраструктурой другого известного игрока — PhantomCore.

Тактика и техники ⬇️

Bearlyfy использует модель атаки с минимальной фазой подготовки и прицельным фокусом на достижение немедленного эффекта. Начальный доступ осуществляется через эксплуатацию внешних сервисов и уязвимых приложений. Основной инструментарий направлен на шифрование, уничтожение или модификацию данных. Атаки развиваются быстро, с применением стандартных средств lateral movement и RMM-инструментов.

Часть инструментов группировки — модифицированные версии утилит с открытым исходным кодом. Записки с требованием выкупа создаются не программами-вымогателями, а непосредственно атакующими.

➡️ Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Главные цифры ⬇️

▪️ На август 2025 года количество жертв группировки — не менее 30.
▪️ В последней зафиксированной атаке злоумышленники запросили €80 тыс. в криптовалюте.
▪️ Каждая пятая жертва выкупает у злоумышленников декрипторы.

Как связаны Bearlyfy и PhantomCore?

PhantomCore — группа, атакующая российские и белорусские компании с 2022 года, впервые обнаруженная специалистами F6 в 2024 году. Группа, вероятно, действует в интересах Украины, поскольку именно оттуда были впервые загружены тестовые образцы самописных ВПО.

▪️ В апрельской атаке группа Bearlyfy использовала MeshAgent. Анализ семпла позволил выявить список серверов. Часть указанной инфраструктуры использовалась группировкой PhantomCore при проведении атаки на российскую промышленную компанию в марте 2025 года.
▪️ IP-адрес, используемый в июньской атаке на консалтинговую компанию, также связан с одной из атак PhantomCore.

Подробнее о новой группировке Bearlyfy — читайте в нашем блоге.

📢 «Июль 2025-го стал самым кровавым месяцем на цифровом фронте». Анастасия Меркулова, директор по маркетингу F6 — в интервью на «РБК Компании».

Тезис «Меня это не коснется» больше не работает. Почти половина промышленных компаний остаются в зоне критического риска. Цена ошибки — клиенты, выручка и доля на рынке.

Директор по маркетингу F6 Анастасия Меркулова в экспертном интервью рассказала:

〰️как за один месяц остановились авиаперевозки, фарма и ритейл, а миллионы людей впервые ощутили атаку лично;
〰️почему ритейл обогнал банки по доле фишинговых атак;
〰️каковы новые тактики группировок;
〰️что чаще всего упускают ИБ-подразделения компаний;
〰️как Индекс кибербезопасности показывает уязвимости глазами атакующих и превращает хаос сигналов в понятный план действий.

➡️ Читать интервью

EDR 3.0 🔥 F6 разработала EDR-агент, поддерживающий отечественные ОС.

Все больше компаний переходит на российские операционные системы. Злоумышленники учитывают эту тенденцию и адаптируют инструменты под Linux.

‼️Ответная модификация средств защиты — острая необходимость для бизнеса.

Особенности F6 EDR 3.0:

▪️ Поддержка отечественных ОС: RedOS, Astra, POCA и др.
▪️Собственный protector-модуль, не позволяющий удалить агент даже с высокими привилегиями.
▪️ Передача телеметрии с использованием прокси-сервера.
▪️ Единый локальный интерфейс для взаимодействия с агентом на всех ОС.
▪️ Расширенный сбор телеметрии для глубокого поиска скрытых угроз и повышения качества детекта без влияния на производительность ОС.

Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз (MXDR) F6:

С выходом версии 3.0 F6 закладывает архитектурную основу для будущих обновлений — гибкую и быструю платформу, в рамках которой клиенты смогут получать улучшения и новые функции еще быстрее. В ближайшее время планируется выход нового EDR-агента для Windows и MacOS.

➡️ Узнать больше о F6 EDR

📢 Этим летом Павел Серов, руководитель Security Operations Center (SOC) «Столото», крупнейшего распространителя государственных лотерей в России, прошел обучение по курсам от компании F6 «Криминалистика Linux» и «Тестирование на проникновение».

Зачем топ-менеджерам обучение по информационной безопасности и можно ли рекомендовать курсы от F6 коллегам — Павел рассказал в этом видео.

В интервью:

▪️Почему выбрали курсы от F6?
▪️Что из материалов курсов уже пригодилось в работе?
▪️Оценка работы тренеров F6.

Смотрите на любой удобной платформе⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

«Мамонт» не прижился в Беларуси 📍 Чем отличается ландшафт скама и что угрожает жителям Республики — в большом исследовании F6.

Активное противодействие мошенникам в России привело к тому, что организаторы криминального бизнеса стали присматриваться к странам, где пользователи не менее доверчивы и тоже при деньгах. Беларусь одной из первых встретила нашествие схем, заимствованных киберпреступниками из России.

Особенности атак ⬇️

▪️ Мошенники практически не используют домены .by. Защита доменной зоны .by от мошеннических ресурсов укрепляется, в том числе благодаря соглашению между F6 и белорусским провайдером hoster.by. Мошенники создают сайты в других доменных зонах, чтобы продлить срок их «жизни».

▪️ «Мамонт» не прижился. Группы, которые работают по этой схеме на международном уровне, обходят Беларусь по причине слаженной работы банков и правоохранителей.

▪️ Банковские личные кабинеты угоняют через Telegram-боты. Это уникальный сценарий обмана, который используется только в Беларуси.

Топ-8 популярных схем скама, используемых против пользователей из Беларуси ⬇️

1️⃣Инвестиционное мошенничество.
Адаптация схемы не слишком затратна: достаточно подстроить «российские» шаблоны под местные новости и региональную специфику.

2️⃣Розыгрыши от имени банков.
Отличие от России — только в сумме «подарка». Россиянам обычно обещают перевести на карту 3000 рублей, а белорусам — в пять раз больше: 600 белорусских рублей (более 16 000 ₽).

3️⃣Фишинг банковских аккаунтов через Telegram-боты.
Рекламу мошеннических ботов размещают в соцсетях или рассылают через мессенджеры.

4️⃣Угон аккаунтов Telegram и WhatsApp.
Одна из самых популярных приманок — фейковое голосование в духе «У меня дочка в конкурсе участвует, проголосуй, пожалуйста» со ссылкой на сторонний ресурс.

5️⃣Блокировка iPhone через авторизацию в iCloud злоумышленника.
После того, как пользователь авторизуется в аккаунт мошенника, его устройство блокируют. Далее — требование выкупа без гарантий.

6️⃣Фейковые компенсации.
Приманка — реклама мошеннических сайтов, которые предлагают получить «официальную компенсацию» от государства. Но есть нюанс: оплата «комиссии».

7️⃣Фишинг на почтовые компании.
Пользователям приходит сообщение о посылке, которую не могут доставить, например, из-за неточного адреса. Ссылка уводит на мошеннический сайт.

8️⃣Фейковые опросы.
Приманка — подарок от известного бренда за участие в опросе.

❗️ Подробнее о ландшафте скама в Беларуси и о том, как в стране борются с киберпреступниками — читайте в блоге.

⚡️ Аналитики Центра кибербезопасности F6 обнаружили новую волну вредоносных рассылок от группы Hive0117.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.

24 сентября ЦК F6 зафиксировал после нескольких месяцев затишья новую активность трояна DarkWatchman RAT. Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz. Аналогичная рассылка была также обнаружена в июне и июле.

🔍 В ходе анализа индикаторов было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz. Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане. В списке — 51 адресат (банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT).

‼️DarkWatchman RAT также распространялся под видом архива якобы от Минобороны и лже-повесток. Во всех случаях атаки были нейтрализованы системой для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз F6 Managed XDR.

➡️ Анализ одного из вредоносных вложений на Malware Detonation Platform от компании F6.

Станьте кибердетективом 😎 F6 открыла запись на октябрьские курсы.

1️⃣ Реагирование на инциденты ИБ

Когда? 14–16 октября 2025.
Кто? Михаил Николаев, старший тренер Центра обучения F6.
Чему научитесь: анализировать атаки по фреймворкам Cyber-Kill Chain и MITRE ATT&CK, собирать криминалистические данные и анализировать артефакты Windows, создавать и отрабатывать план реагирования на реальных кейсах.

2️⃣ Исследование киберпреступлений

Когда? 22–23 октября 2025.
Кто? Специалисты департамента расследований высокотехнологичных преступлений F6.
Чему научитесь: исследовать атаки с использованием Dark Web и открытых данных, а также выявлять и анализировать цифровые следы атакующих.

Оба курса подходят для сотрудников SOC, CERT и других ИБ-специалистов, которые хотят повысить квалификацию.

🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте edu@f6.ru.

Делитесь информацией о курсах с теми, кому они актуальны ❤️

🎥 Как не попасться на крючок мошенников и куда обращаться, если это вдруг произошло? Подробно объясняем в видео!

Многие пользователи до сих пор не понимают, как защитить данные в эпоху масштабных кибератак. Но теперь у них есть надежный помощник — наш видеокурс и платформа «Антифишинг».

В первом выпуске Эвелина Переходюк, эксперт F6 и старший аналитик первой линии CERT, рассказывает:

💚 как злоумышленники маскируются под легальные сервисы и какие уловки используют;
💚 как выглядит классическая схема фишинга;
💚 как вовремя распознать обман;
💚 куда обращаться, если стали жертвой мошенников.

Платформа «Антифишинг» от F6 позволяет каждому пользователю внести свой вклад в борьбу с киберпреступностью ⬇️

❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу. Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки.

Будьте начеку, смотрите видео на любой удобной платформе и делитесь им с каждым ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

⭐️ Последнее время участились случаи угона аккаунтов знаменитостей — с их страниц мошенники уводят пользователей на фишинговые ресурсы. F6 исследовала эти схемы, подробный отчет — в блоге.

Основной сценарий — «беспроигрышные» фейковые лотереи и розыгрыши. Продвижение фишинговых и скам-ресурсов мошенники реализуют с использованием образов известных брендов, медийных персон или напрямую с их официальных (взломанных) аккаунтов в соцсетях. Также ссылки на мошеннические ресурсы продвигают через Telegram-чаты, email-рассылки и соцсети.

Элина Ганиева, ведущий аналитик Digital Risk Protection F6:

Использование на ресурсах изображений известных брендов и публичных личностей повышает кредит доверия со стороны потенциальных жертв и, тем самым, увеличивает прибыль тех, кто зарабатывает на обмане.

⚙️ Схема работает так: жертва переходит по ссылке на страницу с фиктивным розыгрышем, а потом либо сама переводит деньги по реквизитам (например, под предлогом оплаты комиссии), либо вводит данные карты для получения приза — а злоумышленники получают к ней доступ.

Главные цифры ⬇️
 
〰️Аналитики Digital Risk Protection F6 заметили 10 активных мошеннических партнерских программ, нацеленных на россиян.
〰️За последний год доход мошенников в двух таких программах мог превысить 300 млн руб.
 〰️Аналитики обнаружили 100+ шаблонов-офферов, в 45% из них используются лица знаменитостей, в 60% — изображения известных брендов (часть сайтов используют образы селебрити и брендов одновременно).

Детали исследования — в новом блоге.

❗️ На один крупный бренд ежедневно создается до 20 атакующих ресурсов. Как бизнесу защитить себя — объясняем.

Скам стал системной угрозой для брендов. Каждый день появляются поддельные сайты, аккаунты и приложения, которые используют названия компаний, чтобы обмануть клиентов. Число новых скам-доменов только за полгода превысило 3 500.

Для бизнеса это не только финансовые потери, но и снижение доверия, репутационные риски.

В свежей статье эксперты 🙃 объяснили:

▪️ чем скам отличается от фишинга и почему он опаснее для бизнеса;
▪️ какие отрасли чаще всего под ударом;
▪️ какие ошибки совершают компании при противодействии;
▪️ как F6 Digital Risk Protection помогает блокировать до 90% мошеннических ресурсов еще до того, как пострадают клиенты.

➡️ ЧИТАТЬ

Friendly reminder ⚡️ Через два дня встречаемся на вебинаре с экспертами Digital Risk Protection F6 😎

Бренды находят в цифровой среде новые возможности, а вместе с ними и серьезные угрозы — поддельные аккаунты, фишинговые сайты, утечки, репутационные атаки.

2 октября в 11:00 на вебинаре «Как защитить бренд с Digital Risk Protection. Практические кейсы и ключевые риски» обсудим:

▪️ почему бренду нужна защита;
▪️ актуальные угрозы в 2025 году;
▪️ реальные кейсы;
▪️ DRP как часть стратегии бренда.

‼️Вебинар будет полезен для руководителей, ИБ-специалистов и всех, кто отвечает за развитие и защиту бренда в диджитал.

➡️ РЕГИСТРАЦИЯ

Пересылайте этот пост коллегам! Увидимся 2 октября в 11:00 😎

FakeBoss пошел на повышение: F6 зафиксировала новую схему — FakeTeam.
 
С мошеннической схемой FakeBoss многие знакомы — подробнее о ней мы рассказывали здесь. А теперь департамент расследований F6 обнаружил новый схожий сценарий, главное отличие — атака проводится не одним лже-руководителем, а целой командой лже-коллег.

Вот как работает схема ⬇️

1️⃣ Злоумышленники создают групповой Telegram-чат, в который жертву добавляет посторонний аккаунт под нейтральным псевдонимом «Отдел кадров» и др. В чате несколько участников — «босс» и «коллеги» жертвы.

‼️ В известных F6 случаях применения схемы FakeTeam злоумышленники использовали в том числе фейковые аккаунты чиновников и руководителей крупных компаний.

2️⃣ В чате «босс» просит воспользоваться Telegram-ботом для подтверждения данных госсервиса и сообщить полученный шестизначный код.

Фейковые коллеги из чата создают видимость активности — пишут, что действительно слышали в новостях про необходимость связать Telegram-аккаунт с госсервисами, присылают результат выдачи бота. Если жертва не реагирует на сообщения, «руководитель» тегает его в чате или пишет лично.

3️⃣ При переходе в бот у пользователя запрашивают контакты и присылают требуемый код. После чего преступники начинают следующий этап атаки — убеждают жертву, что ее личный кабинет госсервиса взломан, и теперь надо перевести деньги на «безопасный счёт», досрочно погасить кредит задекларировать сбережения.

‼️Особая опасность атаки по схеме FakeTeam в том, что злоумышленники могут одновременно атаковать нескольких сотрудников организаций. F6 рекомендует руководителям СБ предупредить персонал о новой схеме и дать рекомендации по защите личных аккаунтов в мессенджерах.

😉 Борьба с киберпреступностью

Запускаем Мониторинг ASM 🔥 Центр кибербезопасности F6 представил новую услугу для проактивного выявления угроз на внешнем периметре.

Мониторинг ASM нужен, чтобы команда могла устранить проблему до того, как уязвимостью воспользуются злоумышленники.

Что именно мы делаем ⬇️

💚 проводим полную инвентаризацию ваших внешних активов;
💚 непрерывно отслеживаем появление новых активов и проверяем все имеющиеся на критические уязвимости;
💚 верифицируем каждую проблему и проверяем факт возможной компрометации;
💚 передаем сведения об уязвимых активах и даем рекомендации по устранению слабых мест на периметре.

Хотите увидеть скрытые угрозы и получить рекомендации по их устранению? Оставьте заявку, и мы расскажем, как усилить безопасность вашей уникальной инфраструктуры.

➡️ Оставить заявку

⚡️ 37% инцидентов за год были связаны с майнерами криптовалют. ЦК F6 назвал актуальные киберугрозы для российских компаний — исследование.

Специалисты Центра кибербезопасности F6 проанализировали изменения ландшафта угроз с 1 июля 2024 года по 30 июня 2025 года. В исследовании учитывались исключительно инциденты высокого уровня критичности и требовавшие реакции со стороны аналитиков ЦК F6 в рамках сервиса мониторинга и реагирования SOC MDR.

Выявленные угрозы ⬇️

▪️ 37% инцидентов связаны с майнерами криптовалют. При этом за последние полгода их доля снизилась на 11%.
▪️15% инцидентов связаны с управляемыми человеком атаками
▪️14% — с использованием бэкдоров.
▪️13% — с троянами удаленного доступа (RAT).

Также зафиксированы инциденты с модульным ВПО, загрузчиками и дропперами.

Векторы атаки ⬇️

▪️70% инцидентов связаны с загрузкой вредоносных программ, причем в 2025-м их доля продолжает расти.
▪️9% инцидентов произошло из-за использования зараженных съемных накопителей.
▪️5% обусловлены фишинговыми кампаниями, в 83% из которых чаще всего распространяли шпионское ПО и стилеры.

Тактики злоумышленников ⬇️

〰️ Наиболее распространенной тактикой оказался обход защиты (TA0005: Defense Evasion, 30%), который позволяет скрывать присутствие в инфраструктуре и минимизировать вероятность обнаружения, часть функций реализуется через вредоносные программы.

〰️ Также популярны тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%). Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем.

Подробнее о динамике угроз, векторов атак и тактик злоумышленников — читайте в исследовании аналитиков ЦК.

Всё о киберразведке 😎 Атаки не случаются внезапно — перед ними злоумышленники тестируют эксплойты, обсуждают уязвимости на форумах и сливают учетные записи в даркнет. Эти сигналы можно отловить заранее, если использовать разведку угроз.

Мы подготовили White Paper «Всё о киберразведке», где собрали практические сценарии применения Threat Intelligence.

Что внутри ⬇️

1️⃣ Утечки аккаунтов. Как вовремя находить корпоративные адреса в базах и действовать до того, как ими воспользуются.
2️⃣ Фишинг и BEC. Откуда брать данные о фишинговых доменах и как закрывать кампанию целиком, а не отдельные ссылки.
3️⃣ Даркнет и инсайдеры. Где продаются доступы к корпоративным сетям и как выявлять такие объявления до атаки.
4️⃣ Уязвимости и эксплойты. Почему CVE недостаточно и как отличить реально эксплуатируемые дыры от фонового шума.
5️⃣ Вредоносное ПО. Что можно извлечь из конфигурационных файлов и как это помогает блокировать новые заражения.
6️⃣ Аналитика и тренды. Обзоры атакующих групп, прогнозы и аргументы для диалога с руководством.

‼️White Paper будет полезен CISO, руководителям SOC и тем, кто отвечает за стратегию защиты бизнеса.

⤵️Скачать «Всё о киберразведке»

Когда думал, что штрафы — это максимум несколько тысяч, а ФЗ-420 разогрел калькулятор… Рассказываем о законах, которые изменят бизнес в 2025–2026 гг.

1️⃣ С 30 мая 2025 года вступил в силу закон № 420-ФЗ. Он усилил ответственность за утечки персональных данных и ввёл оборотные штрафы.

‼️Теперь санкции зависят от выручки компании и при повторных нарушениях могут достигать миллионов рублей.

2️⃣ С 1 марта 2026 года начнет действовать приказ ФСТЭК № 117 — он обязывает компании, которые работают с госконтрактами или подключены к гос-системам, подтвердить соответствие новым требованиям. Без этого доступ к тендерам и продлению контрактов будет закрыт.

‼️Это не бумажная формальность. Нарушения оборачиваются прямыми финансовыми потерями, утратой доверия клиентов и партнеров, блокировкой контрактов и тендеров.

В новой статье мы подробно разбираем, как изменения законодательства влияют на работу компаний и почему Индекс кибербезопасности F6 — это инструмент, позволяющий видеть фактическое состояние защиты, расставлять приоритеты и готовиться к проверкам заранее.