Компания F6 исследовала основные угрозы, векторы атак и тактики киберпреступников, атакующих российские компании в 2024–2025 годах. По данным Центра кибербезопасности (ЦК) F6, 37% инцидентов были связаны с майнерами криптовалют, а загрузка пользователями программ с вредоносной нагрузкой из непроверенных ресурсов оказалась самым распространенным вектором компрометации.

Компания F6, ведущий российский разработчик решений в области кибербезопасности, объявляет о запуске новой версии EDR-агента (Endpoint Detection and Response) с поддержкой российских операционных систем семейства Linux. Обновление EDR-агента, входящего в состав флагманского решения F6 Managed XDR, стало логичным ответом на растущие киберугрозы и переход компаний и организаций на российские ОС.

Решение EDR 3.0 с поддержкой российских операционных систем семейства Linux, включая Astra Linux, RedOS и РОСА можно использовать как самостоятельный модуль для защиты конечных устройств или как часть платформы F6 Managed XDR. Встроенные механизмы EDR позволяют в реальном времени обнаруживать сложные киберугрозы на персональных компьютерах и серверах, изолировать зараженные устройства, нейтрализовать вредоносную активность и собирать криминалистические данные для последующего анализа. Решение предлагает глубокий сбор телеметрии без потери производительности и единый интерфейс для управления агентами вне зависимости от операционной системы.

Злоумышленники создали сайты-двойники благотворительного фонда, на которых под предлогом финансовой поддержки бойцов и их родных предлагают получать по 500 тысяч рублей ежемесячно за счёт участия в фейковой инвестиционной программе. Для обмана пользователей скамеры размещают на сайтах видеодипфейки с отзывами от имени участников спецоперации.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала фишинговые атаки новой группы ComicForm, нацеленные на российские компании в сферах финансов, туризма, биотехнологий, исследований и торговли, а также на белорусские и казахстанские организации. Через фишинговые письма злоумышленники распространяли стилер FormBook для кражи данных, а во вложениях прячут ссылки на картинки с героями комиксов, в частности, Бэтменом.

Аналитики департамента киберразведки F6 (Threat Intelligence) зафиксировали фишинговую кампанию, которая проводилась в мае — июне 2025 года и была направлена на российские организации. Темы вредоносных писем — «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и т.д. — должны были подтолкнуть пользователей открыть вложения. В файле из сообщения была спрятана вредоносная программа-загрузчик, которая в свою очередь устанавливала на компьютер жертвы стилер FormBook для кражи данных.

Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на анимированные изображения с супергероями в формате GIF, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя «ComicForm».

Аналитики F6 и RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру злоумышленников, заражавших мобильные устройства пользователей вредоносным ПО для кражи денег и конфиденциальных данных. Троян DeliveryRAT маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Экспертам стало известно как минимум о трех скам-группах, привлекающих жертв на вредоносные ресурсы для установки ВПО.

Напомним, что летом 2024 года специалисты F6 обнаружили новый Android-троян и дали ему имя DeliveryRAT (Remote Access Trojan). Его основной задачей являлся сбор конфиденциальных данных для оформления кредитов в микрофинансовых организациях или кража денег из онлайн-банкинга.

Позднее эксперты выявили telegram-бот «Bonvi Team», где DeliveryRAT был представлен как услуга (Malware-as-a-Service, MaaS). Именно в специальных telegram-ботах злоумышленники генерируют ссылки на фейковые сайты, с которых происходит скачивание вредоносных APK-файлов на Android-устройства.  После того как жертва, кликнув на ссылку, скачивает вредоносное приложение с поддельной страницы, она может лишиться конфиденциальных данных и денег на счете. 

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новой тактике инвестиционного мошенничества. Под предлогом участия в фейковых программах злоумышленники уговаривают потенциальных жертв перечислить первый взнос на счета реальных благотворительных фондов. Только в «Русфонд» с февраля по август 2025 года поступили переводы как минимум от 356 человек на общую сумму свыше 4,6 млн рублей — теперь организация возвращает эти деньги пострадавшим от действий мошенников. За счёт переводов фондам киберпреступники пытаются укрепить доверие потенциальных жертв, чтобы получить полный доступ к их банковским счетам и похитить максимальную сумму.

Нечаянная жертва

В августе 2025 года сотрудники благотворительного фонда «Русфонд» обратились к специалистам F6 за консультацией.

На протяжении семи месяцев, начиная с февраля, в фонд стали поступать странные перечисления с пометкой «Платёж себе». Деньги приходили от разных людей, однако суммы таких переводов были примерно одинаковыми — от 13,8 тыс. до 14 тыс. рублей. Некоторые из тех, кто перечислил деньги, впоследствии попросили вернуть пожертвования. Свои действия они объяснили тем, что перевод произошёл против их воли.

Эксперты департамента компании F6 по противодействию финансовому мошенничеству (Fraud Protection) проанализировали сведения, которые сотрудникам «Русфонда» удалось получить от пользователей, переводивших деньги благотворительной организации по указанию неизвестных. Вывод специалистов: фонд столкнулся с новой тактикой злоумышленников, работающих по схемам инвестиционного мошенничества.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала мошеннические атаки на российские компании в первом полугодии 2025 года. Около 80 % всех создаваемых мошеннических ресурсов эксплуатируют бренды известных компаний, а самая атакуемая отрасль — ритейл. На нее пришлось 50% всех фишинговых и 32% скам-атак текущего года.

В июне 2025 года специалисты F6 Threat Intelligence обнаружили новую вредоносную активность, которую назвали  Phantom Papa. Злоумышленники рассылали письма весьма фривольного содержания на русском и английском языках с вредоносными вложениями, содержащими новый Phantom Stealer. Все подробности — в новом блоге.

Это ВПО основано на коде ВПО Stealerium и позволяет собирать пароли, банковскую и криптовалютную информацию, содержимое браузеров и мессенджеров. Также у него есть функция антианализа, автозапуска, кейлоггер и поддержка популярных обфускаторов. Для эксфильтрации данных может использовать Telegram, Discord или SMTP.

Компания F6 назвала самую опасную схему цифрового мошенничества, направленную против детей. За первое полугодие 2025 года аналитики F6 зафиксировали в России около 3500 инцидентов, в которых преступники управляли действиями несовершеннолетних пользователей, чтобы получить доступ к банковским счетам их родителей.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, назвала самые часто используемые злоумышленниками схемы финансового мошенничества. Для кражи денег пользователей в 2025 году злоумышленники в 90% случаев используют сценарии со звонками якобы от финансового регулятора, служб доставки или почты, а также фейковый взлом государственного сервиса.

Эксперты F6 по противодействию финансовому мошенничеству (Fraud Protection) систематизировали подход к описанию схем и собрали «Матрицу фрода» (F6 Fraud Matrix) — базу знаний, в которой разобраны все актуальные схемы финансового мошенничества и более сотни техник, которые используют злоумышленники. Бесплатный инструмент позволяет распознать начало атаки и что ей предшествовало: как злоумышленники получили чувствительные данные, планировали свои шаги и каких целей добиваются.

По данным аналитиков F6, около 90% всех атак на физических лиц в 2025 году приходится на сценарии со звонками от специалиста финансового института, угроз взлома сервиса с государственными услугами, а также звонками от служб доставки или почты. В первую очередь эти схемы нацелены на счета в банках.

Специалисты F6 направили 4 фишинговых домена для блокировки на территории РФ. Все они созданы в период с 8 по 18 августа 2025 года.

Под видом официального сайта главы государства злоумышленники создали фейковый ресурс, на котором разместили ложную информацию о запуске госплатформы для заработка граждан с обещанием дохода от 150 000 рублей в неделю.

Только одна из русскоязычных групп злоумышленников за январь-июнь 2025 года похитила 1 496 034 учётных записей пользователей из России и других стран. На момент исследования специалисты F6 зафиксировали не менее четырёх таких групп.

Всем привет! На связи команда F6. Предлагаем проверить свои силы по реверс-инжинирингу и решить головоломку. Приз — классный мерч F6.

Наше задание не является синтетическим — оно создано по реальному кейсу. Недавно специалисты F6 помогли одному из детских садов на Кубани с расшифровкой файлов после атаки с использованием программы-вымогателя.

Предлагаем расшифровать его и вам и получить флаг!

Пока 100% способа защитить человека от обмана, кажется, пока не придумали: человек остаётся самым слабым звеном. Но можно сделать так, чтобы свести к минимуму количество успешных мошеннических атак. Как – знает руководитель департамента компании F6 по противодействию финансовому мошенничеству (Fraud Protection) Дмитрий Ермаков. За его плечами – почти 20 лет работы в сфере информационной безопасности в крупнейших банках России. Теперь этот опыт помогает ему создавать технологический «купол» для защиты миллионов российских пользователей от мошенников.

Специалисты F6 обнаружили 143 сайта, которые прикрываются брендом «Здоровая Россия», а также несуществующей онлайн-клиники. На страницах этих сайтов мужчинам и женщинам в возрасте от 35 до 75 лет предлагают получить помощь в избавлении от морщин и нормализации давления, лечении простатита, запоров и проблем с пищеварением, а также повышении потенции. 117 из 143 сайтов (82%), маскирующихся под бренд «Здоровая Россия», созданы в один день, 4 августа 2025 года.

В случае обнаружения нарушений, в том числе фишинга, скама, распространения ВПО или ботнетов в доменных зонах .BY и .БЕЛ, а также среди международных доменных имен, зарегистрированных через hoster.by, аналитики Центра круглосуточного реагирования на инциденты кибербезопасности (CERT) компании F6 будут взаимодействовать с hoster.by для оперативного их устранения.

На фишинговом сайте пользователям предлагают бесплатно получить мем-токен Labubu, а для этого просят привязать кошельки к ресурсу, чтобы проверить право на участие в операциях с новой криптовалютой.

Фейки маскируют в том числе под новости ведущих российских СМИ и распространяют через Telegram-каналы социальной тематики. Вся схема обмана с дальнейшим хищением денег и персональных данных происходит исключительно в мессенджере, без использования сторонних ресурсов.

Злоумышленники предлагают оформить виртуальную кредитную карту с лимитом в 100 тысяч рублей под 99% годовых без ограничений по возрасту, кредитной истории и другим критериям. Под предлогом оформления карты скамеры просят заплатить комиссию в 3050 рублей. Кроме риска хищения этих денег, мошенники также получают доступ к персональным данным жертвы.