В феврале 2026 года эксперты F6 Threat Intelligence обнаружили файл, исследование которого привело к раскрытию инфраструктуры ранее неизвестной группировки. Специалисты F6 назвали её SiribClone – по метаданным одного из атакующих и используемому инструменту rclone (утилита командной строки с открытым исходным кодом для работы с облачными хранилищами). Несмотря на небольшое количество обнаруженных публичных сэмплов, мы установили, что атакующие активно тестировали свои разработки с декабря 2025 года, а самые ранние следы фишинговой активности злоумышленников датируются летом 2025 года.

В традиционном понимании бизнеса критически важным сегментом ИТ-инфраструктуры считаются системы, напрямую обеспечивающие непрерывность бизнес-процессов и финансовую результативность компании. Однако с позиции информационной безопасности приоритеты принципиально иные: по-настоящему критический сегмент формируют системы, отвечающие за защиту инфраструктуры, безопасное хранение секретов и аутентификационных данных, а также создание и хранение резервных копий. Именно эти компоненты определяют способность организации не только противодействовать угрозам, но и гарантированно защищать активы и восстанавливаться после разрушительных инцидентов или сбоев. Эксперты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 и специалисты по безопасности компании-разработчика корпоративного менеджера паролей Пассворк провели исследование, которое позволило сформировать рекомендации по защите критически важных устройств в каждой ИТ-инфраструктуре.

Идея написания этой статьи обусловлена практическим опытом реагирования на разрушительные кибератаки, в ходе которых злоумышленники получали доступы к корпоративным сетям своих жертв и использовали программы-вымогатели или вайперы для вывода из строя их ИТ-инфраструктуры. Анализ причин, благодаря которым злоумышленники достигли целей, показал, что во многом успех был достигнут за счет небезопасной конфигурации ИТ-инфраструктур, качественно проведенной разведки ресурсов жертвы, компрометации критически важных учетных данных, хранимых в том числе в корпоративных парольных менеджерах, доступности и незащищенности систем и хранилищ резервного копирования.

Привет! На связи Илья Савин, ведущий аналитик департамента защиты от цифровых рисков (Digital Risk Protection) компании F6, и сегодня я расскажу об одной из самых коварных и массовых мошеннических схем, которую киберпреступники применяют для угона учётных записей Roblox. Фишинговая схема с сайтами, которые действуют под выдуманным брендом BloxTools, используется против геймеров в России и других странах.

На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

В конце февраля 2026 года в России насчитывалось более 10 тыс. смартфонов, скомпрометированных этим вредоносным приложением, всего за две недели их число увеличилось на 33%. Falcon позволяет киберпреступникам похищать данные более чем 30 популярных мобильных сервисов и полностью управлять устройством пользователя. Особенность трояна – высокий уровень защиты от антивирусов: Falcon может удалять такие приложения сразу после собственной установки.

Компания F6, российский разработчик технологий для борьбы с киберпреступлениями, оценила рынок онлайн-пиратства в России в 2025 году в $34,4 млн, что на 5,5% меньше, чем годом ранее — $36,4 млн. В новом исследовании эксперты объясняют снижение доходов пиратов сокращением трафика поисковых запросов на пиратские порталы и масштабными блокировками. При этом у пиратов сменились якорные рекламодатели: доля показа «черной рекламы» нелегальных казино и букмекеров составила 11%, а реклама легальных брендов — 89%. Для защиты своих ресурсов от блокировок пираты активно использовали шифрование текста рекламы нелегальных фильмов, в том числе азбукой Морзе, а для обхода фильтров поисковиков —DLE-модули с интеграцией искусственного интеллекта для рерайта описаний киноновинок.

Аналитики департамента киберразведки (Threat Intelligence) компании F6 изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую группировку назвали PseudoSticky. Злоумышленники использовали в качестве приманок в фишинговых рассылках файлы, в названии которых упоминались индексы продукции военного назначения, а письма отправляли от имени несуществующих предприятий ОПК и областного суда.

На мероприятиях, выставках, встречах со студентами, в социальных сетях и на собеседованиях представителей F6 часто спрашивают, где получить образование, улучшить навыки в сфере информационной безопасности. Михаил Николаев, старший тренер по кибербезопасности отдела обучения компании F6, рассказал, какие есть возможности для обучения в сфере информационной безопасности.

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл, который выглядел как программа-вымогатель. Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика: вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски «зашифрованы … командой Legion», упоминания о которой ранее не встречались.

Аналитики Центра кибербезопасности F6 обнаружили новую волну вредоносных рассылок от группировки PhantomCore. 19 и 21 января 2026 года системой F6 Business Email Protection (BEP) была перехвачена и заблокирована рассылка, направленная на электронные адреса российских компаний из сфер ЖКХ, финансов, городской инфраструктуры и муниципальных услуг, аэрокосмической отрасли, потребительских цифровых сервисов (B2C), химической промышленности, строительства, производства потребительских товаров, а также электронной коммерции (e‑commerce) и маркетплейсов.

С каждым днем искусственный интеллект всё больше интегрируется в нашу жизнь и облегчает многие задачи. Но, к сожалению, он также используется и в арсенале киберпреступников.

Так, в ходе ежедневного мониторинга угроз, 21.11.2025 специалисты F6 Threat Intelligence обнаружили вредоносный архив с именем Изделие-44 ДСП.rar (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4), загруженный на одну из публичных онлайн-песочниц.

Архив содержит в себе файл Изделие-44 ДСП.hta (MD5: e6846e5074ef5e583df74d989a32833f), запуск которого инициирует цепочку заражения: HTA-загрузчик -> EXE загрузчик\инжектор -> полезная нагрузка DarkTrack RAT.

В ходе анализа содержимого указанного файла прослеживается простота кода, подробное его комментирование, форматирование и отсутствие грамматических ошибок. Эти признаки позволяют предположить, что злоумышленники использовали при разработке своего ВПО LLM.

В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns. После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ.

Аналитики департамента киберразведки F6 продолжили отслеживать атаки злоумышленника, который не прекращал свою активность и осуществлял новые фишинговые рассылки в адрес российских организаций. Целью киберпреступника был доступ к конфиденциальным данным для их дальнейшего использования. Как правило, VasyGrek применял вредоносное ПО, разработанное пользователем хак-форумов PureCoder. Также специалисты F6 заметили, что в некоторых атаках в дополнение к ВПО от PureCoder шел шифровальщик Pay2Key.

В новом блоге аналитики F6 рассказали об инструментах и атаках VasyGrek в августе-ноябре 2025 года с техническими деталями и индикаторами компрометации.

Аналитики Центра кибербезопасности и Threat Intelligence компании F6 обнаружили новую кампанию вредоносных рассылок. Злоумышленники направляют письма под видом инструкций по действиям при минной угрозе и требования предоставить отчетность по противодействию информационным атакам. Кампания по распространению бэкдора Capdoor нацелена на ритейлеров, коллекторские агентства, микрофинансовые учреждения, страховые компании. Специалисты F6 присвоили группе имя CapFIX. Техники злоумышленников из CapFIX и индикаторы компрометации приведены в статье далее.

Часто при просмотре видеозаписей кажется, что всё на своих местах: события, люди, действия. Всё выглядит логично — до тех пор, пока не обращаешь внимания на время. Когда дата на видео не совпадает с реальностью, это меняет всё. В этой статье Андрей Кравцов, специалист Лаборатории цифровой криминалистики F6, расскажет о случае из практики, когда именно нестыковка во времени стала ключом решения. Истину помогли установить не кадры, а скрытые от глаз журналы событий, которые хранят больше, чем кажется на первый взгляд.

Изначально задача казалась тривиальной: провести криминалистический анализ, в рамках которого восстановить видеозаписи с жёсткого диска видеорегистратора. Заказчик сообщил, что самостоятельно найти и просмотреть видеозаписи за определённый период не получилось, это и стало причиной обращения к нам в Лабораторию.

Активность хакерских группировок, атаки APT, шифровальщиков и утечки конфиденциальных данных заставляют бизнес принимать быстрые решения. Наиболее частыми способами получения первоначального доступа к инфраструктуре своих жертв являются эксплуатация уязвимостей публично доступных сервисов, фишинговые рассылки с вредоноcным вложением, или же использование легитимных аутентификационных данных скомпрометированных пользователей, купленных у брокеров первоначального доступа на теневых площадках. Чем опытнее преступник, тем сложнее обнаружить его действия, особенно если он использует легитимные учетные данные.

В ряде случаев компании «забрасывают» активы своей инфраструктуры: старые веб-приложения, неактуальные сайты/площадки, «торчащие» наружу узлы со служебной информацией, внутренние сервисы и т.д. Векторы атак постоянно развиваются, и гораздо эффективнее готовиться к ним заранее, вовремя устраняя потенциальные точки входа. В этой статье специалисты Центра кибербезопасности F6 рассказали как проактивный подход к мониторингу и своевременное реагирование могут помочь локализовать инцидент на ранней стадии, сэкономив время и ресурсы внутренней ИБ-команды, и избежав возможных сопутствующих издержек для всего бизнеса, а также о важности контроля и мониторинга не только внутреннего контура инфраструктуры, но и уязвимого внешнего периметра, который часто является мишенью для злоумышленников и «точкой входа» во многих атаках.

Установить злоумышленников удалось в результате исследования, которое провели аналитики F6. Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat Intelligence) компании F6 за атрибуцией.

Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, сообщает о новой угрозе для российских организаций — программе‑вымогателе Pay2Key. Весной 2025 года было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства.

По данным аналитиков департамента киберразведки компании F6, вымогательский сервис Pay2Key распространяется на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года. Несмотря на запрет многих теневых площадок атаковать российских пользователей, злоумышленники применяли шифровальщик для атак целей в России. Так, система F6 MXDR обнаружила и заблокировала рассылки, относящиеся как минимум к трем фишинговым кампаниям, которые были нацелены на российских пользователей. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.

Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».

Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic — семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.

Специалисты компании F6 раскрыли сеть доменов группировки NyashTeam, которая распространяет вредоносное ПО и предоставляет злоумышленникам хостинг-услуги. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России. Сейчас более 110 доменов в зоне .ru, которые использовала группировка, уже заблокированы.

Аналитики Центра кибербезопасности компании F6 обнаружили новую волну вредоносных рассылок от киберпреступной группы Werewolves. Злоумышленники направляют фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнического оборудования.