⚙️ Граф в киберразведке: как связи раскрывают инфраструктуру атак.

Одиночные индикаторы почти ничего не значат. Один домен, IP или сертификат могут быть случайными. Реальная картина появляется, когда данные связываются между собой.

Для этого в F6 Threat Intelligence используется графовый анализ ⬇️

▪️ От сигналов к структуре. Граф связывает домены, IP, сертификаты, файлы, контакты и артефакты из даркнета в единую схему. Так становятся видны инфраструктура атакующих и логика кампании, а не набор разрозненных фактов.

▪️ Подтверждённые связи без шума. Граф автоматически очищается от ложных зависимостей: общий хостинг, смена владельцев IP, реселлеры доменов. В результате аналитик видит только релевантные и подтверждённые связи.

▪️ Временной контекст. Связи строятся с учётом периода активности объектов. Это позволяет отличать актуальные угрозы от устаревших следов и видеть развитие атаки во времени.

▪️ Гибкая глубина анализа. Можно быстро оценить ближайшее окружение объекта или развернуть полную схему атаки с C2-серверами, загрузчиками и цепочками распространения ВПО.

▪️ Практика расследований. В одном из кейсов F6 граф позволил из одного фишингового домена восстановить всю инфраструктуру кампании, включая цепочки PureCrypter и PureHVNC, и определить приоритетные точки блокировки.

Графовый анализ помогает аналитикам ускорять расследования, бизнесу — понимать реальные риски, а руководству — принимать решения на основе наглядной и проверенной картины угроз.

➡️ Подробнее — в нашей статье.

Атака на SharePoint: разбираем реальный кейс и даем рекомендации по защите.

Microsoft выпустила критические патчи для SharePoint в июле. Но что происходит, пока компания решается их установить? Окно уязвимости превращается в распахнутые двери для атакующего.

Пока вы ждете «удобного момента» для обновления, атакующий действует. Показываем его путь на примере реального инцидента — глазами нашего Центра кибербезопасности F6.

Операция SharePatch — три этапа работы аналитиков ⬇️

1️⃣ По горячим следам: изоляция зараженного сервера и блокировка трафика со стороны клиента.
2️⃣ Новые находки: поиск по всем хостам на предмет наличия индикаторов компрометации, анализ криминалистически значимых артефактов.
3️⃣ Устранение последствий: полное удаление следов компрометации и устранение возможности повторения инцидента.

➡️ Подробный разбор кейса, все этапы работы и конкретные рекомендации — в нашей новой статье.

⚡️ 83% компаний не тестируют безопасность регулярно. Рассказываем, что показало исследование SOC Forum 2025.

Большинство компаний уверены, что внешний периметр под контролем. 82% из них оценивают свой уровень защиты как высокий. Но данные White Paper F6 показывают другую картину.

‼️ Уверенность ≠ устойчивость. Люди и их устройства — главный риск.

▪️ 46% сотрудников используют личные устройства или аккаунты для работы. Доступ к сервисам выходит за пределы управляемого контура.
▪️ 24% компаний не проводят проверки устойчивости сотрудников к фишингу. Одно неверное действие — и защита не успевает вмешаться.
▪️ 19% организаций не оценивают риски цепочки поставок. Ошибка партнёра автоматически становится вашей проблемой.
▪️ 82,9% компаний тестируют безопасность нерегулярно. Между проверками появляются новые сервисы, меняются конфигурации и возникают незаметные точки входа.

Внешний цифровой контур — часть операционной устойчивости бизнеса. Уязвим периметр — уязвим бизнес.

⤵️ Скачать полные результаты исследования и приоритеты на 2025 год.

📢 Интервью недели: Станислав Гончаров — о работе в кибербезе, нейросетях и work-life balance.

Герой нового выпуска подкаста «Руцентра» — Станислав Гончаров, руководитель Digital Risk Protection F6. В ИБ работает с 2018 года, стоял у истоков направления защиты от цифровых рисков.

Что обсудили ⬇️
▪️ как защититься от киберугроз;
▪️ как расследуют киберпреступления;
▪️ каким навыкам не научат ни на одном курсе;
▪️ сможем ли мы жить без интернета;
▪️ зачем выступать на конференциях и что от этого получают конкуренты;
▪️ что делает государство и как помогает ИИ;
▪️ как будет выглядеть кибербезопасность через пять лет.

Также поговорили о первой зарплате, хобби и о том, как жить на пороге выгорания.

Смотрите интервью на 📺 VK Видео

Криминальный лидер: новые версии Mamont распространяют через домовые чаты.
 
Троян удалённого доступа Mamont считают одной из главных угроз 2026 года из-за расширения функционала в новых версиях вредоносного приложения.

▪️ ВПО распространяют под видом списков погибших, раненых и пленных участников СВО, папок с фото и видео, а также антивирусов.

▪️ В 2025 году вредоносный файл рассылают по открытым группам, например, домовым чатам, а также по всем контактам скомпрометированных устройств.

▪️ Для большей вероятности запуска злоумышленники используют провокационные сообщения. APK-файлы называют «Фото_СтРашной_аварии» и сопровождают их текстом: «Ужас какой … насмерть разбился».

▪️ Общий ущерб от использования Mamont против клиентов российских банков только в ноябре 2025 года может превышать 150 млн рублей.

Mamont образца декабря 2025 года позволяет злоумышленникам:

〰️читать все СМС пользователя, включая архивные;
〰️рассылать СМС с его телефона;
〰️находить на устройстве приложения банков, маркетплейсов, мессенджеров и соцсетей;
〰️получать данные о SIM-картах;
〰️отправлять USSD-запросы.

Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6:

Сборка ВПО под конкретного пользователя происходит прямо в интерфейсе мошеннических баз данных (CRM) и занимает считанные минуты. NFCGate, который в 2025 году был главной угрозой для клиентов российских банков, в 2026-м станет всего лишь одной из опций Android-троянов.

‼️ Главная угроза новой версии Mamont: её функционал позволяет превратить пользователя скомпрометированного устройства в сообщника мошенников без его ведома.

Подробности исследования, детали сценария атаки и индикаторы компрометации — в новом блоге.

Как атакуют детей в интернете? F6 исследовала эволюцию мошенничества, направленного на несовершеннолетних.

В 2025 году злоумышленники отошли от прямого фишинга в сторону длительных, продуманных атак, которые используют психологию и доверие ребёнка. За 10 месяцев уже зафиксировано 6000+ инцидентов с ущербом 850+ млн рублей.

Топ-5 актуальных схем этого года ⬇️

1️⃣ Социальная инженерия через игровые платформы.
2️⃣ Поддельные сервисы обучения и «курсы для школьников».
3️⃣ «Безопасные» задания, переходящие в вымогательство.
4️⃣ Ночные атаки с использованием биометрии родителей.
5️⃣ Подмена технической поддержки в детских приложениях.

Это не просто уловки — это спланированные операции с глубоким пониманием детской психологии.

Как защитить детей? Полный разбор схем с примерами и рекомендациями по безопасности — в нашей статье.

F6 Digital Risk Protection: что изменилось в продукте в 2025 году?

Весна и осень 2025 года стали периодом системных обновлений F6 Digital Risk Protection. Развитие продукта было сфокусировано на усилении управления цифровыми рисками и предсказуемости аналитики.

Коротко о главных апдейтах ⬇️

▪️ Инциденты и интеграции
Обновлённый API позволяет напрямую добавлять ресурсы в систему и получать результаты проверок по сигнатурам. Это сокращает путь от обнаружения угрозы до реагирования и упрощает работу между ИБ, юристами и подрядчиками.

▪️ Автоматический трекинг ресурсов
Ресурсы в статусе наблюдения перепроверяются ежедневно. Если контент меняется или ресурс снова активен, статус обновляется автоматически — без ручных действий и устаревших данных.

▪️ Расширение охвата цифрового поля
F6 Digital Risk Protection усилил контроль над сайтами, рекламой, соцсетями и теневыми площадками. Добавлен поиск по изображениям для выявления фейковых сайтов с айдентикой бренда и обновлён модуль контроля контекстной рекламы с анализом заголовков, текстов и URL.

▪️ Быстрее реагирование
Новый интерфейс Violations объединяет скриншоты, Whois, историю и обработку ошибок в одном окне. Появился индикатор изменений контента на основе HTML-снимков — статус обновляется автоматически.

▪️ Предсказуемые результаты для бизнеса
Автоматизация снижает нагрузку на команды, а обновлённая логика приоритизации выводит вперёд угрозы, которые напрямую влияют на репутацию и бизнес-процессы.

💚 Планы на будущее
В ближайших релизах — LLM для анализа неструктурированных источников, развитие scam intelligence и DRI-аналитики, единый changelog и новая скоринговая модель.

Полный разбор обновлений и логики развития F6 Digital Risk Protection — в статье.

‼️ До 40% трафика в сервисах формируют боты. Объясняем, в чем их опасность и как защититься.

По данным Дмитрия Ермакова, руководителя Fraud Protection F6, «интеллектуальные боты» — одна из критических угроз. Их используют как для мониторинга цен и акций конкурентов, в том числе для переманивания клиентов, так и для киберпреступной деятельности.

🔍 Злоумышленники могут с помощью ботов атаковать любые компании, где есть авторизация клиентов. Такие атаки «умных» ботов низкочастотные, для одного запроса формируется уникальный IP-адрес и отпечаток устройства.

Что делают боты ⬇️

▪️ собирают конфиденциальную информацию;
▪️ пытаются проникнуть в личные кабинеты;
▪️ проверяют достоверность данных из украденных баз, наличие учетной записи пользователя в сервисе для дальнейших атак;
▪️ генерируют бесконечное количество запросов для остановки работы ресурса.

👀 Как защититься?

Компании могут защититься от подобного рода атак с помощью сложных решений, умеющих в режиме реального времени отличать активность пользователя от бота и блокировать последних с высокой точностью, независимо от масштаба атаки и сложности используемых ботов. Модуль Preventive Proxy в решении F6 Fraud Protection защищает приложения и API заказчика от бот-активности: автоматизированных запросов регистрации и авторизации.

😉 Борьба с киберпреступностью

🎅 По-настоящему «тайный» Санта. F6 и RuStore проанализировали самые популярные схемы онлайн-мошенничества перед Новым годом.  

Среди них оказались как традиционные кампании с розыгрышами призов, так и новые — например, Telegram-бот с игрой в «Тайного Сайту». Вот как работает схема ⬇️

▪️ Злоумышленники создают фейковые сайты — якобы платформы для исполнения желаний.
▪️ Чтобы получить подарок, надо перейти в Telegram-бота.
▪️ Там пользователь заполняет анкету и указывает желаемый подарок.
▪️ Система якобы «находит» человека, готового исполнить желание.
▪️ Для подтверждения участия бот требует подписаться на список Telegram-каналов, в который могут входить как безобидные ресурсы, так и каналы, связанные с инвест-скамом.

‼️ В результате жертвы рискуют потерять деньги или данные карт.

Вот как еще обманывают мошенники в декабре ⬇️

▪️ фейковые розыгрыши и акции;
▪️ мошенничество с арендой загородных коттеджей на Новый год;
▪️ «продажа» красной икры через домовые чаты и Telegram-ботов;
▪️ поддельные версии мобильных приложений магазинов с фейковыми новогодними акциями или подарками.

Дмитрий Морев, директор по информационной безопасности RuStore:

Важно внимательно проверять отзывы о сервисах перед покупками, а также использовать только официальные приложения для оформления заказов и скачивать их из официальных магазинов таких, как RuStore. Мошенники часто требуют 100% предоплату — явный признак обмана. Регулярное обновление ПО и использование антивирусных программ помогут снизить риски заражения устройства вредоносным ПО.

➡️ Чтобы праздники не были испорчены, ознакомьтесь с рекомендациями и не теряйте бдительность.

В середине 2000-х два брата из Петербурга поняли: банк можно ограбить не выходя из квартиры. Что из этого вышло — смотрите в видео 😎

В новом эпизоде ИИ-сериала о киберпреступности от F6 и @SecLabNews — история двух братьев-хакеров.

В мае 2015 года их квартиру взяли штурмом. Попытка смыть в унитаз полмиллиона рублей, сим-карты и флешки провалилась, но несмотря на все улики братья отделались условными сроками. После этого они развернули настоящий криминальный бизнес.

🎥 Чем всё закончилось — рассказали в ролике.

🏆 История успеха: как «МТС Юрент» выстроил работу с угрозами в постоянно меняющемся бизнесе.

Цифровой бизнес редко бывает стабильным. Инфраструктура растет и сжимается, партнеры подключаются и отключаются, нагрузка скачет по сезонам, а доступы множатся быстрее, чем их успевают пересматривать.

МТС Юрент — один из крупнейших сервисов кикшеринга в России. Полностью цифровой продукт, распределенная инфраструктура и небольшая команда ИБ. Здесь невозможно «закрыться регламентами» — защита должна опираться на актуальные данные и работать в реальном времени.

🎥 В этой истории успеха мы показываем, как в «МТС Юрент» выстроили динамическую модель угроз вокруг F6 Threat Intelligence и зачем она понадобилась бизнесу. Смотрите интервью с CISO «МТС Юрент» Германом Обручниковым на любой удобной платформе ⬇️

📺 VK Видео
📺 YouTube
📺 RuTube

Или читайте «Историю успеха» на сайте.

Пиратские итоги года 😑 Собрали рейтинг фильмов, которые чаще всего копировали в этом году.

Со старыми привычками прощаться тяжело — поэтому, несмотря на развитие стримингов, россияне всё равно продолжают активно пользоваться пиратскими ресурсами.

Боевики, фантастика, драмы на основе реальных событий — всё это в топе за 2025 год ⬇️

1️⃣ «Опустошение»
2️⃣ «Хищник: Планета смерти»
3️⃣ «Ущелье»
4️⃣ «Кирпич»
5️⃣ «Под прикрытием»
6️⃣ «Франкенштейн»
7️⃣ «Финикийская схема»
8️⃣ «Пойман с поличным»
9️⃣ «F1»
1️⃣0️⃣ «Компаньон»

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составлял список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено. И теперь мы подвели итоги уходящего года.

😉 Борьба с киберпреступностью

📢 Математика угроз. Кто и зачем атаковал российские компании в этом году?

16 декабря мы выпустили итоговый релиз «Киберугрозы-2025». В этом посте разбираем ключевые тезисы об атаках в условиях геополитического противостояния.

▪️ В 2025 году рост числа прогосударственных групп, атакующих Россию и СНГ, незначителен — 27 против 24 в прошлом году.

〰️ Семь новых группировок были раскрыты впервые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081.

〰️ Топ-5 индустрий-целей прогосударственных групп: госучреждения, промышленность, НИИ, предприятия ВПК, ТЭК. Также аналитики зафиксировали повышенный интерес злоумышленников к IT-компаниям.

▪️ Наиболее активными группами-шифовальщиками в этом году стали Bearlyfy/ЛАБУБУ (не менее 55 атак) и THOR (не менее 12 атак).

〰️ Малый и средний российский бизнес с целью выкупа больше всего атаковали Mimic/Pay2Key, Proton/Shinra и C77L.

〰️ На программы-вымогатели (шифровальщики) Mimic/Pay2Key и LockBit 3 Black пришлось до 25% и 21% инцидентов. Proton/Shinra — 11,4%, Babuk — 10,2%.

▪️ Помимо групп, использующих программы-вымогатели, в 2025-м активность сохраняли 20+ финансово-мотивированных группировок. Наиболее примечательные из них: Vasy Grek, Hive0117, CapFIX.

‼️ Фокус политически мотивированных групп смещается на нанесение большего ущерба за счет использования программ-вымогателей. В 2025 году более десяти таких группировок отметились хотя бы одной атакой с использованием этой разновидности ВПО.

😉 Борьба с киберпреступностью

«Твой 2025»: мошенники тоже подводят итоги года, угоняя Telegram-аккаунты.
 
Ежегодно главным трендом декабря становятся пользовательские итоги года от приложений и сервисов. Злоумышленники следуют моде и под предлогом подсчета статистики и получения призов мотивируют перейти в Telegram-боты, через которые угоняют аккаунты.

Как работает схема ⬇️

▪️ Аналитики Digital Risk Protection обнаружили TikTok-ролики, в которых пользователям предлагают получить личную статистику активности в Telegram или TikTok. Самым активным пользователям обещают призы.

▪️ По ссылке в профиле заинтересованных пользователей перенаправляют на фишинговые сайты, которые маскируются под официальный сервис Telegram, или в Telegram-боты. Типичные названия таких сайтов и ботов — «Твои итоги 2025», «Итоги года», «Твой 2025» и др.

▪️ Далее нужно ввести данные для входа и «код подтверждения», благодаря которому злоумышленники получают доступ к аккаунту. Также необходимо подписаться на «каналы-спонсоры» — в дальнейшем их могут использовать в других мошеннических схемах.

😉 Борьба с киберпреступностью

Адвент-календари за подписку на десятки каналов. Объясняем, как работает новая приманка от мошенников.

Аналитики Digital Risk Protection F6 обнаружили сценарии, в которых мошенники «раздают» адвент-календари от Telegram и известных маркетплейсов.

▪️ Рекламу приманок размещают в TikTok, а для «получения» календарей требуется перейти по ссылке в комментариях.

▪️ Ссылка ведет в Telegram-бот, который запрашивает у пользователя его пол и город проживания. Также бот предлагает выбрать тип адвент-календаря — с косметикой, игрушками, техникой или со сладостями.

▪️ Обязательное условие получения календаря — подписка на «каналы-спонсоры»: бот требует подписаться на несколько десятков сомнительных каналов, после чего предлагает подождать проверки.

▪️ На следующий день бот присылает автоматические сообщения, в которых просит подписаться еще на ряд Telegram-каналов и ботов, после чего «написать» менеджеру, который якобы поможет завершить подготовку подарка.

Максим Ионов, ведущий аналитик второй линии CERT Digital Risk Protection F6:

Перед новогодними праздниками мошенники активно создают новые сценарии обмана на основе старых проверенных способов. Приманки в виде различных подарков, беспроигрышных акций злоумышленники используют уже давно. Но масштаб распространения ловушек для пользователей в TikTok и Telegram этой зимой намного больше, чем в предыдущие годы. Мы рекомендуем пользователям сохранять бдительность, не верить обещаниям бесплатного сыра и спрашивать себя, зачем у вас запрашивают ту или иную информацию.

😉 Борьба с киберпреступностью

«Иллюзия обмана», а может лучше — «Тайны следствия»? 🔍 Собрали топ популярных фильмов и сериалов за декабрь по числу пиратских копий.

Декабрьский рейтинг должен был быть предсказуем: в топ ожидаемо ворвались «Достать ножи» и «Иллюзия обмана», среди сериалов первые строчки по-прежнему держат «Очень странные дела» и «Оно: Добро пожаловать в Дерри». Но в декабре конкуренцию им составила российская ТВ-легенда — сериал «Тайны следствия» и его 25-й сезон.

Топ-5 копируемых фильмов ⬇️

1️⃣ «Хищник: Планета смерти»
2️⃣ «Достать ножи: Воскрешение покойника»
3️⃣ «Иллюзия обмана 3»
4️⃣ «Метод исключения»
5️⃣ «Бугония»

Топ-5 копируемых сериалов ⬇️

1️⃣ «Очень странные дела»
2️⃣ «Оно: Добро пожаловать в Дерри»
3️⃣ «Одна из многих»
4️⃣ «Фоллаут»
5️⃣ «Тайны следствия»

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов и сериалов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце.

😉 Борьба с киберпреступностью

Друзья, коллеги, подписчики, команда F6 поздравляет вас с наступающим Новым годом и Рождеством 🎄

В 2025-м мы убедились, что кибербез перестал быть узкой профессиональной темой — инциденты теперь касаются каждого из нас. Угрозы не стареют, а взрослеют: злоумышленники прокачивают сценарии, актуализируют приманки, проводят громкие атаки, о которых говорит вся страна.

Спасибо всем, кто был с нами весь этот год, — тем, кто читал наши новости, изучал расследования, задавал вопросы и распространял рекомендации о безопасности.

Пусть в новом году алерты будут только тестовыми, а атаки — учебными ❤️

Желаем отличных каникул и как можно больше поводов говорить о хорошем в наступающем 2026-м.

С Новым годом 🥂🎉

😎 1 января многие россияне проснулись в ожидании исполнения мечты о миллиарде. А эксперты F6 по традиции проконтролировали, чтобы розыгрыш «Новогоднего миллиарда» — главного лотерейного тиража года — прошел честно и прозрачно.

Помимо законодательно установленных мер контроля, специалисты F6 дополнительно удостоверились, что в лотерее приняли участие только проданные билеты с зарегистрированными игровыми комбинациями.

Павел Зевахин, специалист по реагированию на инциденты и цифровой криминалистике F6:

Эксперты Лаборатории компьютерной криминалистики F6 провели сверку базы проданных билетов с той базой, которая участвовала в розыгрыше 1707-го тиража «Русского лото» и удостоверились в том, что в розыгрыше «Новогоднего миллиарда» приняли участие только проданные билеты с зарегистрированными игровыми комбинациями.

Кроме того, специалисты F6 самостоятельно приобрели билеты, находившиеся в свободной продаже, и провели сверку, что они так же зафиксированы в базе проданных билетов. Проверка целостности базы, включая сравнение её контрольных параметров до и после тиража, не выявила расхождений: данные в базе до и после тиража абсолютно идентичны.

Всего по итогам «Новогоднего миллиарда» выигрышными стали 14 748 754 билета, в праздничном тираже было разыграно 4 247 063 723 рубля — новый абсолютный рекорд по общей сумме выигрышей в одном тираже среди российских государственных лотерей.

😉 Борьба с киберпреступностью

Рождество без «Один дома» 😧 Собрали пиратский новогодний рейтинг.

Список фильмов-лидеров по числу пиратских копий может показаться неожиданным. Вместо легендарных историй о Кевине — мелодрама «Одна на Рождество», вместо комедии о злом Гринче — хоррор о кровавом Санте «Тихая ночь, смертельная ночь», а из российской новогодней «базы» в топ-10 смог пробиться только Шурик. Если думали, что посмотреть в оставшиеся праздничные дни — вы знаете, что делать.

Вот как выглядит топ-10 рождественских фильмов полностью ⬇️

1️⃣ «Семейный план 2»
2️⃣ «Боже. Как. Смешно»
3️⃣ «Одна на рождество»
4️⃣ «Мой тайный Санта»
5️⃣ «Рождественское ограбление»
6️⃣ «Письмо Деду Морозу»
7️⃣ «Невероятные приключения Шурика»
8️⃣ «Тихая ночь, смертельная ночь»
9️⃣ «Спасти Санту 2»
1️⃣0️⃣ «Рождественский пиклболл»

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляла список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено. А специально к праздникам мы собрали рейтинг рождественского кино.

😉 Борьба с киберпреступностью