⚡️ Расследуйте инциденты в Linux до того, как они приведут к катастрофе.

Случалось ли часами искать следы взлома в бесконечных списках событий, не понимая, где та самая зацепка, которая ведёт к разгадке?

Хватит это терпеть! Наш интенсив — два дня погружения в практику, где вы научитесь проводить полноценное расследование от первой улики до полной картины атаки.

Компьютерная криминалистика и реагирование на инциденты в ОС Linux

Когда? 26–27 ноября.
Кто? Ангелина Аникина, тренер по кибербезопасности F6.
Что будем делать? Проводить глубокий анализ оперативной памяти и криминалистических копий дисков, расследовать инциденты актуальными инструментами, охотиться за цифровыми уликами и восстановливать хронологии атак, разбирать реальные кейсы.

➡️ Подать заявку можно по активной ссылке или по почте edu@f6.ru.

Делитесь постом с коллегами, для которых тема расследований в Linux — актуальный вызов!

Как действовала самая сексуальная хакерша? 😧

Это не фраза для привлечения внимания.

Россиянка Кристина, задержанная в 2010 году в США, была невольной соучастницей преступной группировки, похищавшей деньги с помощью трояна ZeuS. В СМИ ее назвали самой сексуальной хакершей.

Представляем CyberStory — первый ИИ-сериал о хакерах и киберпреступности. Совместный проект F6 и @SecLabNews 😎

🔥 — если хотите продолжение

Важный апдейт у Unicorn ⚡️ Кибергруппа дополняет свой самописный стилер возможностями трояна удаленного доступа.

Специалисты F6 Threat Intelligence фиксируют обновления стилера кибергруппы Unicorn, атакующей российские компании из разных отраслей с сентября 2024 года. Она проводит еженедельные рассылки и действует довольно шаблонно, используя одни и те же домены в качестве командного сервера (C2) и малоизменяемый самописный стилер Unicorn.

▪️ Изменение адреса управляющего сервера

11.08.2025 года группа зарегистрировала новый домен van-darkholm[.]org, который начала практически сразу использовать в атаках.

▪️ Изменения стилера Unicorn

С осени мы наблюдаем, что группа предпринимает попытки модифицировать свой стилер, при этом цепочка атаки осталась прежней:

письмо с архивом -> HTA -> .VBS-скрипт (+ POST запрос на Discord) -> VBS-скрипты с подгрузкой модулей из реестра = стилер Unicorn.



Рассмотрим изменения на примере октябрьского образца, который использовался в рассылке в адрес финансовой отрасли.

➡️ Ссылка на анализ файла в F6 Malware detonation platform

В последних атаках стилер Unicorn состоит из 3 пар сценариев (попарно идентичных):

1️⃣ history_log.vbs / permission_set.vbs

Скрипт, отвечающий за обход и эксфильтрацию файлов. Ссылка для эксфильтрации генерируется по следующему шаблону:
hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{4,8}.

2️⃣ timer.vbs / shortcut_link.vbs

Скрипт, отвечающий за сбор tdata Telegram и данных браузера.

3️⃣ access_rights.vbs / music_list.vbs

Этот скрипт можно считать основным обновлением стилера. Он проверяет наличие команды, добавленной в реестр, и если она отсутствует, запрашивает ее, после чего добавляет запись в реестр (команда будет выполнена при следующем обходе). Проверяет наличие ключа реестра HKCU\Software\Redboother\Tool\ELZ.
Если ключа нет, выполняет POST-запрос к серверу: hxxps://[a-zA-Z0-9]{6,12}.van-darkholm[.]org/vpr-[a-zA-Z0-9]{6,12}
Ответом от сервера должен служить xml-объект, содержащий поля id и cmd. В случае их наличия, значения будут добавлены в реестр:

— HKCU\Software\Redboother\Tool\ELZ для "id";
— HKCU\Software\Redboother\Tool\CZO для "cmd".

Если размер содержимого превышает 2000 байт, оно будет раздельно записано в реестр по 2000 байт в ключи с именем {key_name}_{key counter}. Если при начальном обходе ключ реестра HKCU\Software\Redboother\Tool\ELZ существует, то декодирует команду и выполняет ее через executeglobal, то есть скрипт ожидает получить от сервера .vbs-сценарий. После выполнения команды отправляет POST-запрос с информацией о статусе выполнения команды.

▪️ Допущенные ошибки

Стоит отметить ошибочную логику в коде злоумышленников, который подразумевает, что пары скриптов при запуске закрепляются в системе через создание ключа в ветке реестра. Изначально один скрипт из каждой пары закреплен в системе через планировщик задач, а второй — через создание ключа. При текущей реализации скрипты будут перезаписывать каждый себя в реестре, что может привести к отсутствию закрепления одного из них. Это может свидетельствовать о продолжающейся доработке стилера и попытке сделать его полнофункциональным инструментом.

Индикаторы компрометации:

van-darkholm[.]org
ИСХ № 582ОП-34 от 15.10.2025.zip - SHA1: f807369601c05ef3cff5be20afb1f5b6efbb8128
ИСХ № 582ОП-34 от 15.10.2025.hta - SHA1:db19bc2374bb2246a8bf26aaf4d95e8e911bbc84
%LOCALAPPDATA%\Dropboxy\Public\Magnify\history_log.vbs / %LOCALAPPDATA%\ClickUpster\List\Switcher\Desktop\permission_set.vbs - SHA1: 15879aa780bdd19f023f3326ae15e120c9c69c5a
%LOCALAPPDATA%\Dropboxy\Paragraph\Resolution\timer.vbs / %LOCALAPPDATA%\ClickUpster\Select\shortcut_link.vbs - SHA1: faf1902580d1f0ef492c05e54442fd2f86f95738
%LOCALAPPDATA%\Outlooker\Version\Detach\Drag\access_rights.vbs / %LOCALAPPDATA%\ClickUpster\Unassigned\Drop\Tile\music_list.vbs - SHA1: 1052b5f089cfd36840f19e98adeb3fcab1f33f76

😉 Борьба с киберпреступностью

😧 Один символ = миллион рублей убытков. Рассказываем историю одного фермера — устраивайтесь поудобнее.

Фермер оформил заказ на удобрения у привычного поставщика. Сайт выглядел официально: фирменный логотип, печать, подпись, счёт. Разница была только в адресе — в одной букве. Менеджер уверенно говорил о скидках «с завода», прислал коммерческое предложение и накладную. После перевода предоплаты связь оборвалась.

Фермер обратился в реальный офис компании, где ему сообщили, что договор не заключался, а сайт, на который он заходил, не имеет к ним отношения.

‼️Расследование F6 показало: поддельных ресурсов несколько — копии страниц, те же документы, те же имена в подписях. Отличались только реквизиты.

Такие схемы активно применяются в агросекторе. Сезонные закупки, спешка, доверие к брендам — всё, что нужно для атаки. Мошенники копируют цифровую идентичность компании, регистрируют похожие домены и собирают оплату от её имени.

⚙️ После расследования компании начали выпускать инструкции, как отличить оригинальный сайт от подделки, а также использовать систему DRP, которая помогает найти клон-сайты до того, как они украдут деньги и клиентов.

Как именно работала схема и чем всё закончилось — рассказываем в блоге.

Пока одни кликают на фейки и подвергают опасности свои данные, другие круглосуточно следят за цифровыми ловушками и делают всё возможное, чтобы обезопасить пользователей.

В заключительном выпуске видеокурса «Антифишинг» — немного закулисья. Эвелина Переходюк рассказала о команде CERT F6, которая круглосуточно борется с фишингом.

Каждый день мы отслеживаем и блокируем множество мошеннических ресурсов. За каждым из них — попытка украсть ваши данные, деньги, клиентов и репутацию.

Смотрите выпуск на любой удобной платформе ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

А предыдущие серии видеокурса можно посмотреть здесь ⬇️

Выпуск 1. Что такое фишинг и чем он опасен?
Выпуск 2. Как отличить фишинговый ресурс от настоящего?
Выпуск 3. Чем отличаются фишинг и скам?
Выпуск 4. Как работает самая масштабная и опасная фишинговая схема «Мамонт»?

❗️ Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки.

⚡️ Новая премия на кибергоризонте! Фонд «Сайберус» и Кибердом открыли прием заявок на «Киберпризнание» 🏆

И мы, разумеется, в деле 😎

▪️ Оценивать номинантов будут 20 экспертов из российских ИБ-компаний. В состав жюри премии также вошел CEO F6 Валерий Баулин.

▪️ При поддержке F6 организаторы учредили номинацию «Форт киберустойчивости», побороться в которой могут компании, получившие Индекс кибербезопасности F6.

Все номинации разделены на треки — «Люди», «Компании», «Общество», «Регионы». Наградят лучших наставников, трендсеттеров, вдохновителей, а также лучшие ИБ-инициативы года.

💚 Полный список номинаций — на сайте. Подайте заявку, и пусть ваш вклад признают!

Что реально видно снаружи? F6 оценила защищенность Major Logistics.

Major Logistics — один из ведущих российских операторов транспортно-логистических услуг. Ежегодно компания выполняет 2+ млн отгрузок, а ее логистическая сеть охватывает 5500 российских населённых пунктов. Разветвлённая цифровая инфраструктура включает 19 интегрированных ИТ-систем и широкую сеть партнёров.

❗️ Результат по F6 Cyber Identity Index: 66 из 100.

SOC, EDR, процессы реагирования, бэкапы — всё на месте. При этом анализ показал, что зрелая защита не гарантирует невидимость.

Индекс выявил:

▪️ устаревшее ПО на отдельных узлах;
▪️ открытые сервисы подрядчиков;
▪️ ошибки в SSL и DNS конфигурациях;
▪️ единичные следы активности на внешнем периметре.

Эти детали не видны изнутри, но именно на них смотрят атакующие.

Для Major Индекс стал инструментом управления зрелостью. Компания получила цифры, на которые можно опереться при планировании инвестиций и защите репутации. А рынок — сигнал, что устойчивость теперь можно измерять, сравнивать и показывать совету директоров.

F6 Cyber Identity Index оценивает компанию по восьми направлениям — от уязвимостей инфраструктуры до следов в даркнете, а также показывает, где компанию могут атаковать уже сегодня.

➡️Читать историю успеха Major Logistics

👀 Представьте: вы работаете в агропроме, впереди — крупный отраслевой форум, и вам на почту приходит его программа. Всё выглядит совсем не подозрительно, но — это снова уловка злоумышленников.
 
Специалисты F6 зафиксировали новую активность группировки Cloud Atlas.

Cloud Atlas — прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальных данных, активная с 2014 года. Использует сложные многоэтапные атаки с применением собственных загрузчиков и шифрованных каналов связи для скрытного сбора данных.

Что произошло?
В преддверии форума «Зерно и масличные 2025», который состоится 30 октября в Москве, злоумышленники направили в адрес агропромышленного предприятия вредоносное письмо, замаскированное под программу мероприятия. Атаку перехватила система защиты от сложных и неизвестных киберугроз F6 Managed XDR.

Немного деталей ⬇️

〰️ Вредоносное вложение было в формате .doc, его отправили с адреса публичного российского почтового сервиса.

〰️ Это не первая атака группы на агропром этой осенью: в сентябре была зафиксирована рассылка с вредоносным «коммерческим предложением».

〰️ Также в октябре атаки группы были направлены на предприятия ОПК, в том числе под видом запроса демографических данных.

Эти и другие атаки Cloud Atlas проанализировали  в новом блоге.

⚡️ 7000 партнеров OCS в России получат доступ к флагманским решениям F6.

F6 заключила соглашение с OCS — одним из крупнейших ИТ-дистрибьюторов в России.

⚙️ Партнерская сеть OCS будет применять решения F6, ориентированные на проактивную защиту цифровых активов и интеллектуальной собственности от атак программ-шифровальщиков и банковских троянов, кибердиверсий и шпионажа, а также финансового мошенничества, фишинга и скама.  

Ольга Скулова, директор департамента информационной безопасности и ПО OCS:

Мы видим, что F6 активно развивает собственную экосистему продуктов в области кибербезопасности и делает это с учетом современных требований. Для нас это сотрудничество — способ расширить выбор для партнеров и дать им доступ к решениям, которые востребованы в текущих реалиях.

Компании также намерены проводить технические консультации, демонстрации, пилотные внедрения и совместные маркетинговые активности.
 

Денис Мерцалов, директор по работе с партнерами F6:

Подписанное партнерство имеет огромный потенциал и направлено на расширение портфеля в сегменте ИБ одного из крупнейших в России ИТ-дистрибьюторов, а также увеличение доступности наших продуктов и сервисов для региональных партнеров и заказчиков.

😉 Борьба с киберпреступностью

Разбираем новую версию ВПО DeliveryRAT. Исследование F6 Threat Intelligence.

▪️ Обновление ВПО появилось в апреле 2025 года. Помимо базовых функций — кража содержания SMS и уведомлений — троян теперь может отображать заранее подготовленные варианты диалоговых окон с возможностью похищения фотографий, загружаемых пользователем, ввода данных банковской карты и т.д.

▪️ Также DeliveryRAT получил отличающиеся от стилера возможности для выполнения DDoS-атак, что позволяет использовать этот троян для массовых атак на инфраструктуру организаций.

Троян DeliveryRAT маскируется под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Способы распространения ВПО мы детально описывали здесь.

Подробный разбор ВПО DeliveryRAT читайте в новом блоге F6.

❗️ Компании проходят стресс-тест на зрелость. Публикуем результаты осеннего отраслевого Индекс кибербезопасности.

За полгода корпоративная кибербезопасность в России изменилась. В новой волне исследования F6 видно, кто усилил цифровой контур, а кто по-прежнему работает без должного контроля над периметром.

Главные выводы:

▪️ Транспорт и энергетика выросли на 1,5 балла (теперь — 6,3). После серии киберинцидентов компании усилили контроль подрядчиков и внедрили сценарии восстановления. Теперь эти отрасли опережают финсектор по уровню защищенности.

▪️ Финансы и промышленность стабильны (5,8), но динамика замедлилась.

▪️ Ритейл и строительство остаются в зоне риска из-за слабого контроля за активами, устаревших конфигураций и версий ПО.

Средняя оценка защищенности компаний России и СНГ — 5,7 из 10 (в мае — 5,2).

Евгений Чунихин, бизнес-руководитель Threat Intelligence и Attack Surface Management F6:

Для одних отраслей кризис стал стимулом для зрелости, для других — испытанием на устойчивость. Всё больше компаний переходят от реакции на инциденты к системному управлению рисками. Возрос интерес к постоянному мониторингу, ревизии цифровых активов и аудиту поставщиков.

➡️ Подробнее об отраслевой динамике и зрелости кибербезопасности — в полном отчете

💚 Рассчитать индивидуальный индекс компании

Более 3️⃣0️⃣0️⃣ млн заработали мошенники на FakeDate в 2025 году.
 
Схема постоянно обновляется, и вот ее новый твист: теперь злоумышленники предлагают сходить на свидание не только в кино, театр или на стендап, но также в музей, планетарий или на конную прогулку.

Под бренды известных билетных сервисов маскируются как минимум семь скам-групп, работающих по схеме FakeDate. Три из них с начала года похитили у россиян 330+ млн рублей.

Особенности новой схемы:

▪️ Ранее мошенники создавали страницы несуществующих театров, кинозалов и антикафе. Теперь же они используют сайты-двойники популярных сервисов.

▪️ Выбор активностей для свидания теперь шире. Сейчас мошенники готовы «продать» билеты на выставку, квест, в музей, оперу и филармонию, в планетарий и на пейнтбол, даже заказать романтическую прогулку на лошадях. Раньше выбор места встречи, который предлагали злоумышленники, был ограничен театром, кино, кальянной, антикафе и стендап-шоу.

Развязка схемы всё та же. После оплаты билетов «девушка» или перестанет выходить на связь, или сообщит, что вынуждена отменить встречу. При попытке возврата средств со счета снова спишут сумму билетов.

Вячеслав Судаков, аналитик Digital Risk Protection F6:

При любом раскладе в распоряжении скамеров остаются данные банковской карты пользователя, а также сведения о его имени и фамилии, номер телефона и адрес электронной почты. Эту информацию мошенники могут в дальнейшем использовать для новых атак на пользователя или его близких.

➡️ Детали нового сценария схемы FakeDate смотрите на сайте.

«Праздничные дивиденды»: F6 обнаружила мошенническую атаку, приуроченную ко Дню народного единства.

Традиционно — когда россияне готовятся отдыхать, мошенники трудятся. В преддверии государственного праздника они запустили фейковую новость о выплатах дивидендов от продажи нефти и газа.
 
Аналитики Digital Risk Protection F6 зафиксировали более 300 сайтов-приманок, сообщающих, что гражданам РФ якобы полагается от 75 тыс. руб. в честь Дня народного единства.

⚙️ Всё происходит по стандартной схеме инвестскама: под предлогом расчета точной суммы дивидендов пользователям предлагают указать возраст, ФИО и телефон, затем жертве звонит «персональный менеджер» и уговаривает внести деньги для быстрого увеличения капитала.

😉 Борьба с киберпреступностью

«Олдскульная» математичка в исполнении Ароновой и очередные криминальные интриги. Публикуем рейтинг фильмов и сериалов, которые пираты чаще всего копировали в октябре.

По итогам прошедшего месяца место в топе нашлось боевикам, комедиям, фантастике и хитам российских стриминговых платформ.

Топ-5 копируемых фильмов ⬇️

1️⃣ «Пойман с поличным»
2️⃣ «Код 3»
3️⃣ «Долгая прогулка»
4️⃣ «Девушка из каюты №10»
5️⃣ «Проклятие пустоши»

Топ-5 копируемых сериалов ⬇️

1️⃣ «ПИН-код»
2️⃣ «Олдскул»
3️⃣ «Чужой: Земля»
4️⃣ «Лихие»
5️⃣ «Чёрный кролик»

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов и сериалов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце.

😉 Борьба с киберпреступностью

Нужна квартира и ваш аккаунт. F6 зафиксировала новую схему мошенничества в сфере недвижимости.

В отличие от известных сценариев, связанных с продажей и арендой домов и квартир, цель злоумышленников — получить доступ к личному кабинету пользователей.

Александр Сапов, старший аналитик Digital Risk Protection F6:

После введения законодательных ограничений на регистрацию сим-карт мошенникам стало труднее получить новые номера, с помощью которых они могли бы регистрировать фейковые аккаунты и размещать объявления-приманки. Вероятно, именно этим вызван интерес киберпреступников к угону учетных записей в сервисах поиска недвижимости.

Как работает схема?

▪️ Мошенники создают фейковые домены, маскирующиеся под известные сервисы поиска недвижимости. В адресах фишинговых страниц фигурируют название бренда и слова rent и flat.

▪️ Они размещают объявления-приманки о сдаче квартир в городских Telegram-каналах или, наоборот, пишут напрямую собственникам что-то вроде: «Мне попалась квартира по другому адресу, информация другая, но фотографии ваши».

▪️ В обоих случах злоумышленники присылают фишинговые ссылки. Если пользователь укажет запрашиваемые данные и введет код подтверждения доступа, доступ к аккаунту перехватят.

С 10 сентября 2025 года аналитики F6 обнаружили и заблокировали 8 доменов, используемых для фишинговых атак.

😉 Борьба с киберпреступностью

Как вычислить уязвимости бизнеса до того, как их обнаружат злоумышленники?

Любая компания оставляет цифровой след. Поддомены, тестовые среды, открытые интерфейсы, устаревшие библиотеки, корпоративные адреса в утечках — всё это становится ориентиром для атакующих.

‼️ Стандартные проверки не показывают, как организация выглядит извне, а именно так на нее смотрят злоумышленники, выбирая цель.

Индекс кибербезопасности F6 позволяет увидеть цифровой контур глазами атакующего. Он анализирует инфраструктуру, почтовые сервисы, DNS, SSL, публичные IP и внешние упоминания, после чего формирует отчет с конкретными зонами риска. Это инструмент, с которым можно управлять безопасностью как бизнес-процессом, а не реагировать на последствия.

📍 13 ноября в 11:00 эксперты F6 проведут вебинар «Индекс кибербезопасности F6: диагностика вашего сайта перед угрозами». Расскажут, как интерпретировать результаты Индекса, расставлять приоритеты и использовать данные диагностики для укрепления защиты.

➡️ Регистрация на вебинар