⚡️ Аналитики Центра кибербезопасности F6 обнаружили новую волну вредоносных рассылок от группы Hive0117.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.

24 сентября ЦК F6 зафиксировал после нескольких месяцев затишья новую активность трояна DarkWatchman RAT. Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz. Аналогичная рассылка была также обнаружена в июне и июле.

🔍 В ходе анализа индикаторов было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz. Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане. В списке — 51 адресат (банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT).

‼️DarkWatchman RAT также распространялся под видом архива якобы от Минобороны и лже-повесток. Во всех случаях атаки были нейтрализованы системой для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз F6 Managed XDR.

➡️ Анализ одного из вредоносных вложений на Malware Detonation Platform от компании F6.

Станьте кибердетективом 😎 F6 открыла запись на октябрьские курсы.

1️⃣ Реагирование на инциденты ИБ

Когда? 14–16 октября 2025.
Кто? Михаил Николаев, старший тренер Центра обучения F6.
Чему научитесь: анализировать атаки по фреймворкам Cyber-Kill Chain и MITRE ATT&CK, собирать криминалистические данные и анализировать артефакты Windows, создавать и отрабатывать план реагирования на реальных кейсах.

2️⃣ Исследование киберпреступлений

Когда? 22–23 октября 2025.
Кто? Специалисты департамента расследований высокотехнологичных преступлений F6.
Чему научитесь: исследовать атаки с использованием Dark Web и открытых данных, а также выявлять и анализировать цифровые следы атакующих.

Оба курса подходят для сотрудников SOC, CERT и других ИБ-специалистов, которые хотят повысить квалификацию.

🔖 Курсы платные. Подать заявку можно по активным ссылкам или по почте edu@f6.ru.

Делитесь информацией о курсах с теми, кому они актуальны ❤️

🎥 Как не попасться на крючок мошенников и куда обращаться, если это вдруг произошло? Подробно объясняем в видео!

Многие пользователи до сих пор не понимают, как защитить данные в эпоху масштабных кибератак. Но теперь у них есть надежный помощник — наш видеокурс и платформа «Антифишинг».

В первом выпуске Эвелина Переходюк, эксперт F6 и старший аналитик первой линии CERT, рассказывает:

💚 как злоумышленники маскируются под легальные сервисы и какие уловки используют;
💚 как выглядит классическая схема фишинга;
💚 как вовремя распознать обман;
💚 куда обращаться, если стали жертвой мошенников.

Платформа «Антифишинг» от F6 позволяет каждому пользователю внести свой вклад в борьбу с киберпреступностью ⬇️

❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу. Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки.

Будьте начеку, смотрите видео на любой удобной платформе и делитесь им с каждым ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

⭐️ Последнее время участились случаи угона аккаунтов знаменитостей — с их страниц мошенники уводят пользователей на фишинговые ресурсы. F6 исследовала эти схемы, подробный отчет — в блоге.

Основной сценарий — «беспроигрышные» фейковые лотереи и розыгрыши. Продвижение фишинговых и скам-ресурсов мошенники реализуют с использованием образов известных брендов, медийных персон или напрямую с их официальных (взломанных) аккаунтов в соцсетях. Также ссылки на мошеннические ресурсы продвигают через Telegram-чаты, email-рассылки и соцсети.

Элина Ганиева, ведущий аналитик Digital Risk Protection F6:

Использование на ресурсах изображений известных брендов и публичных личностей повышает кредит доверия со стороны потенциальных жертв и, тем самым, увеличивает прибыль тех, кто зарабатывает на обмане.

⚙️ Схема работает так: жертва переходит по ссылке на страницу с фиктивным розыгрышем, а потом либо сама переводит деньги по реквизитам (например, под предлогом оплаты комиссии), либо вводит данные карты для получения приза — а злоумышленники получают к ней доступ.

Главные цифры ⬇️
 
〰️Аналитики Digital Risk Protection F6 заметили 10 активных мошеннических партнерских программ, нацеленных на россиян.
〰️За последний год доход мошенников в двух таких программах мог превысить 300 млн руб.
 〰️Аналитики обнаружили 100+ шаблонов-офферов, в 45% из них используются лица знаменитостей, в 60% — изображения известных брендов (часть сайтов используют образы селебрити и брендов одновременно).

Детали исследования — в новом блоге.

❗️ На один крупный бренд ежедневно создается до 20 атакующих ресурсов. Как бизнесу защитить себя — объясняем.

Скам стал системной угрозой для брендов. Каждый день появляются поддельные сайты, аккаунты и приложения, которые используют названия компаний, чтобы обмануть клиентов. Число новых скам-доменов только за полгода превысило 3 500.

Для бизнеса это не только финансовые потери, но и снижение доверия, репутационные риски.

В свежей статье эксперты 🙃 объяснили:

▪️ чем скам отличается от фишинга и почему он опаснее для бизнеса;
▪️ какие отрасли чаще всего под ударом;
▪️ какие ошибки совершают компании при противодействии;
▪️ как F6 Digital Risk Protection помогает блокировать до 90% мошеннических ресурсов еще до того, как пострадают клиенты.

➡️ ЧИТАТЬ

Friendly reminder ⚡️ Через два дня встречаемся на вебинаре с экспертами Digital Risk Protection F6 😎

Бренды находят в цифровой среде новые возможности, а вместе с ними и серьезные угрозы — поддельные аккаунты, фишинговые сайты, утечки, репутационные атаки.

2 октября в 11:00 на вебинаре «Как защитить бренд с Digital Risk Protection. Практические кейсы и ключевые риски» обсудим:

▪️ почему бренду нужна защита;
▪️ актуальные угрозы в 2025 году;
▪️ реальные кейсы;
▪️ DRP как часть стратегии бренда.

‼️Вебинар будет полезен для руководителей, ИБ-специалистов и всех, кто отвечает за развитие и защиту бренда в диджитал.

➡️ РЕГИСТРАЦИЯ

Пересылайте этот пост коллегам! Увидимся 2 октября в 11:00 😎

FakeBoss пошел на повышение: F6 зафиксировала новую схему — FakeTeam.
 
С мошеннической схемой FakeBoss многие знакомы — подробнее о ней мы рассказывали здесь. А теперь департамент расследований F6 обнаружил новый схожий сценарий, главное отличие — атака проводится не одним лже-руководителем, а целой командой лже-коллег.

Вот как работает схема ⬇️

1️⃣ Злоумышленники создают групповой Telegram-чат, в который жертву добавляет посторонний аккаунт под нейтральным псевдонимом «Отдел кадров» и др. В чате несколько участников — «босс» и «коллеги» жертвы.

‼️ В известных F6 случаях применения схемы FakeTeam злоумышленники использовали в том числе фейковые аккаунты чиновников и руководителей крупных компаний.

2️⃣ В чате «босс» просит воспользоваться Telegram-ботом для подтверждения данных госсервиса и сообщить полученный шестизначный код.

Фейковые коллеги из чата создают видимость активности — пишут, что действительно слышали в новостях про необходимость связать Telegram-аккаунт с госсервисами, присылают результат выдачи бота. Если жертва не реагирует на сообщения, «руководитель» тегает его в чате или пишет лично.

3️⃣ При переходе в бот у пользователя запрашивают контакты и присылают требуемый код. После чего преступники начинают следующий этап атаки — убеждают жертву, что ее личный кабинет госсервиса взломан, и теперь надо перевести деньги на «безопасный счёт», досрочно погасить кредит задекларировать сбережения.

‼️Особая опасность атаки по схеме FakeTeam в том, что злоумышленники могут одновременно атаковать нескольких сотрудников организаций. F6 рекомендует руководителям СБ предупредить персонал о новой схеме и дать рекомендации по защите личных аккаунтов в мессенджерах.

😉 Борьба с киберпреступностью

Запускаем Мониторинг ASM 🔥 Центр кибербезопасности F6 представил новую услугу для проактивного выявления угроз на внешнем периметре.

Мониторинг ASM нужен, чтобы команда могла устранить проблему до того, как уязвимостью воспользуются злоумышленники.

Что именно мы делаем ⬇️

💚 проводим полную инвентаризацию ваших внешних активов;
💚 непрерывно отслеживаем появление новых активов и проверяем все имеющиеся на критические уязвимости;
💚 верифицируем каждую проблему и проверяем факт возможной компрометации;
💚 передаем сведения об уязвимых активах и даем рекомендации по устранению слабых мест на периметре.

Хотите увидеть скрытые угрозы и получить рекомендации по их устранению? Оставьте заявку, и мы расскажем, как усилить безопасность вашей уникальной инфраструктуры.

➡️ Оставить заявку

⚡️ 37% инцидентов за год были связаны с майнерами криптовалют. ЦК F6 назвал актуальные киберугрозы для российских компаний — исследование.

Специалисты Центра кибербезопасности F6 проанализировали изменения ландшафта угроз с 1 июля 2024 года по 30 июня 2025 года. В исследовании учитывались исключительно инциденты высокого уровня критичности и требовавшие реакции со стороны аналитиков ЦК F6 в рамках сервиса мониторинга и реагирования SOC MDR.

Выявленные угрозы ⬇️

▪️ 37% инцидентов связаны с майнерами криптовалют. При этом за последние полгода их доля снизилась на 11%.
▪️15% инцидентов связаны с управляемыми человеком атаками
▪️14% — с использованием бэкдоров.
▪️13% — с троянами удаленного доступа (RAT).

Также зафиксированы инциденты с модульным ВПО, загрузчиками и дропперами.

Векторы атаки ⬇️

▪️70% инцидентов связаны с загрузкой вредоносных программ, причем в 2025-м их доля продолжает расти.
▪️9% инцидентов произошло из-за использования зараженных съемных накопителей.
▪️5% обусловлены фишинговыми кампаниями, в 83% из которых чаще всего распространяли шпионское ПО и стилеры.

Тактики злоумышленников ⬇️

〰️ Наиболее распространенной тактикой оказался обход защиты (TA0005: Defense Evasion, 30%), который позволяет скрывать присутствие в инфраструктуре и минимизировать вероятность обнаружения, часть функций реализуется через вредоносные программы.

〰️ Также популярны тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%). Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем.

Подробнее о динамике угроз, векторов атак и тактик злоумышленников — читайте в исследовании аналитиков ЦК.

Всё о киберразведке 😎 Атаки не случаются внезапно — перед ними злоумышленники тестируют эксплойты, обсуждают уязвимости на форумах и сливают учетные записи в даркнет. Эти сигналы можно отловить заранее, если использовать разведку угроз.

Мы подготовили White Paper «Всё о киберразведке», где собрали практические сценарии применения Threat Intelligence.

Что внутри ⬇️

1️⃣ Утечки аккаунтов. Как вовремя находить корпоративные адреса в базах и действовать до того, как ими воспользуются.
2️⃣ Фишинг и BEC. Откуда брать данные о фишинговых доменах и как закрывать кампанию целиком, а не отдельные ссылки.
3️⃣ Даркнет и инсайдеры. Где продаются доступы к корпоративным сетям и как выявлять такие объявления до атаки.
4️⃣ Уязвимости и эксплойты. Почему CVE недостаточно и как отличить реально эксплуатируемые дыры от фонового шума.
5️⃣ Вредоносное ПО. Что можно извлечь из конфигурационных файлов и как это помогает блокировать новые заражения.
6️⃣ Аналитика и тренды. Обзоры атакующих групп, прогнозы и аргументы для диалога с руководством.

‼️White Paper будет полезен CISO, руководителям SOC и тем, кто отвечает за стратегию защиты бизнеса.

⤵️Скачать «Всё о киберразведке»

Когда думал, что штрафы — это максимум несколько тысяч, а ФЗ-420 разогрел калькулятор… Рассказываем о законах, которые изменят бизнес в 2025–2026 гг.

1️⃣ С 30 мая 2025 года вступил в силу закон № 420-ФЗ. Он усилил ответственность за утечки персональных данных и ввёл оборотные штрафы.

‼️Теперь санкции зависят от выручки компании и при повторных нарушениях могут достигать миллионов рублей.

2️⃣ С 1 марта 2026 года начнет действовать приказ ФСТЭК № 117 — он обязывает компании, которые работают с госконтрактами или подключены к гос-системам, подтвердить соответствие новым требованиям. Без этого доступ к тендерам и продлению контрактов будет закрыт.

‼️Это не бумажная формальность. Нарушения оборачиваются прямыми финансовыми потерями, утратой доверия клиентов и партнеров, блокировкой контрактов и тендеров.

В новой статье мы подробно разбираем, как изменения законодательства влияют на работу компаний и почему Индекс кибербезопасности F6 — это инструмент, позволяющий видеть фактическое состояние защиты, расставлять приоритеты и готовиться к проверкам заранее.

Встречаемся в режиме live 📢 Обсудим подходы к кибербезопасности в целом и (не)защищенность ритейла в частности.

7 октября в 12:00 проект Inside&Insight проведет прямой эфир в Telegram-канале New Retail с директором по маркетингу F6 Анастасией Меркуловой.

Что разберем ⬇️ 

▪️ Законодательство в кибербезе: что изменится и на что повлияет?
▪️ Комплексная кибербезопасность — основные элементы стратегии.
▪️ Индекс кибербезопасности F6 — что это такое и для чего он нужен бизнесу.
▪️ Аналитические инструменты для оценки киберзащищенности бизнеса.
▪️ Риск-ориентированный подход к кибербезопасности.
▪️ С чего нужно начинать строить безопасность?

‼️Вы также можете задать свои вопросы в форме регистрации.

Эфир бесплатный — регистрация здесь.

👀 8 признаков, по которым можно вычислить онлайн-мошенников. Смотрите в свежем выпуске обучающего курса F6.

Фишинговые сайты могут выглядеть как настоящие, но всегда оставляют следы. В новом видео Эвелина Переходюк, старший аналитик первой линии CERT F6, рассказывает о восьми признаках онлайн-мошенничества.

Из выпуска вы узнаете узнаете ⬇️

▪️ Как проверить доменное имя сайта и дату его регистрации?
▪️ Почему важен SSL-сертификат?
▪️ Как работает whois-сервис?
▪️ Какие сигналы подает браузер при подозрительном сайте?
▪️ Почему оформление сайта — это тоже индикатор?
▪️ Что делать, если сайт не проверяет введенные данные?

❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки.

Будьте начеку и смотрите видео на любой удобной платформе ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

А что там с сериалами? 😎 Каждый месяц мы знакомим вас с рейтингом самых копируемых фильмов, но теперь решили включить в обзор и любимые пиратами сериалы.

Пока зрители спорят, кто круче — Уэнсдей или Декстер, пиратские площадки уже вынесли свой вердикт. И вот результаты ⬇️

Топ-5 копируемых фильмов:

1️⃣ «Дракула»
2️⃣ «Орудия»
3️⃣ «Голый пистолет»
4️⃣ «Никто-2»
5️⃣ «Цвета времени»

Топ-5 копируемых сериалов:

1️⃣ «Уэнсдэй»
2️⃣ «Чужой: Земля»
3️⃣ «Декстер: Воскрешение»
4️⃣ «Основание»
5️⃣ «Спасская»

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов и сериалов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце.

📢Хакеры давно перестали быть просто героями триллеров — их истории сегодня максимально приближены к реальности.

Собрали топ фильмов, которые показывают разные стороны цифрового подполья: от психологической драмы «Мистер Робот» до практически документального расследования «Нулевой день».

👍 — если смотрели хоть один фильм из подборки
❤️ — если планируете это сделать

😉 Борьба с киберпреступностью

Скамеры используют новую мошенническую схему против хозяев кошек и собак.

Аналитики Digital Risk Protection F6 обнаружили фейковый интернет-магазин под несуществующим брендом «Зооаптека PRO», где якобы можно приобрести популярные и труднодоступные препараты для животных — «Бравекто», «Симпарика», «Апоквел», NexGard и другие.

Как работает схема ⬇️

▪️ Мошенники привлекают покупателей через сайт фальшивой ветеринарной аптеки и сеть из более чем 20 Telegram-каналов и трех Telegram-ботов. Злоумышленники указывают, что доставляют оригинальный товар из Турции. Его стоимость такая же или чуть ниже, чем в легальных магазинах.

▪️ «Заказ» можно оформить только через личный аккаунт «менеджера», который предлагает внести 100% предоплату переводом на карту или по номеру телефона.

▪️ После получения квитанции об оплате «менеджер» переводит пользователя на «логиста», который отвечает не всем пользователям, а лишь тем, кто настойчиво требует информацию о заказе.

▪️ Если жертва требует возврата средств, мошенники начинают новый этап атаки. Они присылают ссылку на фишинговый ресурс, похожий на форму для оплаты одного из известных банков. Если жертва укажет карты и введёт код подтверждения операции из СМС, мошенники повторно спишут сумму несуществующего товара.

‼️На каждом из фейковых заказов пользователи теряют в среднем 7-10 тыс. рублей. Специалисты F6 направили на блокировку домены 16 сайтов, используемых в мошеннической схеме — все они уже заблокированы.

📢 «Зачастую даже отдел ИБ не знает про все риски». Станислав Гончаров — о том, как Индекс кибербезопасности помогает бизнесу оцифровать киберугрозы.

Уязвимости в приложениях и сервисах, забытые домены, неучтенные лендинги. Часто бывает, что даже ИБ-отдел не знает обо всех цифровых активах компании. А это уже открытые двери в инфраструктуру.

🎥 В новом видео рассказываем, как Индекс кибербезопасности F6 помогает увидеть угрозы глазами хакера — получить цифровой срез актуальных для конкретной компании киберугроз и чёткий экшен-план по устранению проблем.

Смотреть ⬇️

📺 VK Видео
📺 RuTube

Когда дата на видео не совпадает с реальностью: эксперты F6 восстановили последовательность событий, изучив скрытые от глаз журналы видеорегистратора.

🟣Стандартная на первый взгляд задача восстановить записи с жёсткого диска видеорегистратора переросла в увлекательный криминалистический кейс, которым поделился специалист Лаборатории цифровой криминалистики F6 Андрей Кравцов.

➡️Эксперты F6 составили хронологию событий и изучили цифровые следы в кодах и записях системы. На что они указали — читайте в блоге на Habr.

⤵️Там же ссылка на написанную специалистами лаборатории F6 утилиту для анализа данных с диска видеорегистратора и извлечения журналов.

Открыта запись на ноябрьские программы обучения по проактивной защите. Залетайте!

1️⃣ Проактивный поиск киберугроз (Threat Hunting)

Когда? 11-13 ноября 2025.
Кто? Специалисты Центра обучения F6.
Вы научитесь: выявлять сетевые аномалии, анализировать тактики злоумышленников, применять киберкриминалистику, находить новые индикаторы угроз.

2️⃣ Анализ данных киберразведки
Когда? 18 -19 ноября, 2025.
Кто? Светлана Бурикова, руководитель Центра обучения F6.

Вы научитесь: анализировать отчёты о киберугрозах, определять ландшафт угроз и визуализировать техники MITRE ATT&CK, выстраивать процессы Threat Intelligence для усиления команд мониторинга и реагирования.

☀️Обе программы подходят для технических специалистов и руководителей в области ИБ, SOC, CERT и Threat Hunting, которые хотят углубить знания или внедрить процессы Threat Intelligence.

🔖Обучение платное. Подать заявку можно по активным ссылкам или по почте edu@f6.ru

Поделитесь анонсом курсов с теми, кому они будут актуальны❤️

👀 Посторонний в чате: можно ли сделать общение в мессенджерах безопасным? Продолжаем серию кибершпаргалок от F6.

Помните скандальную историю, когда сотрудники администрации президента США обсуждали в секретном чате удары по Йемену, а потом оказалось, что всё это время в чате находился непонятно как туда попавший журналист? Вот-вот. 

В наших телефонах – множество чатов — рабочих, личных, школьных, домовых в которых десятки и сотни пользователей. И среди них может оказаться кто угодно. 

Даже если вы ничего не пишете про себя и про события, которые с вами происходят, злоумышленники в курсе общего контекста переписки. И могут использовать эту информацию для атаки лично на вас, коллег или соседей.

➡️В новой «Кибершпаргалке» наш эксперт Сергей Золотухин раскрывает 7 правил цифровой гигиены, которые позволят сделать общение в чатах более безопасным.

💚 Девятая шпаргалка от тренера по кибербезопасности Сергея Золотухина

Это надо видеть! Пилотный эфир нового видеоподкаста Тренд-репорт.

Злоумышленники меняют тактику каждый день: чтобы грамотно защищаться, нужно понимать, как именно они действуют. Об этом эксперты Лаборатории цифровой криминалистики F6 расскажут в эфире онлайн-разбора Тренд-репорта, который организовала школа повышения квалификации в кибербезопасности CyberED.

🎙Разбор проведут руководитель и главный специалист Лаборатории компьютерной криминалистики F6 Антон Величко и Андрей Жданов, белый хакер и эксперт по кибербезопасности Егор Богомолов.

В эфире можно будет увидеть киберугрозы глазами ведущих криминалистов, которые расследуют инциденты. Они расскажут:
▪️какие группы вымогателей атакуют российские компании и какие суммы выкупа запрашивали в последние годы;
▪️как пробивают: основные векторы первоначального доступа;
▪️какие есть техники проникновения и закрепления в инфраструктуре;
▪️какие навыки нужно развивать специалистам по кибербезопасности в 2025 году.

➡️Подробности и регистрация здесь

⚡️Не пропустите: среда, 15 октября 2025, 19:00