Специалисты F6, разработчика технологий для борьбы с киберпреступлениями, подсчитали общее количество утечек баз данных российских компаний, впервые выложенных в публичный доступ в первом полугодии 2025 года, — 154. Это на четыре случая больше, чем в январе-июне 2024 года. Треть утечек этого года приходится на ритейл. Одним из популярных источников получения данных о компаниях и их клиентах стала выгрузка из CRM-систем.

Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя Phobos.

Российские компании и физические лица, которые ранее пострадали от Phobos, теперь могут бесплатно и безопасно восстановить зашифрованные данные. Инструмент можно скачать на гитхабе F6 DFIR.

По данным F6, 9 из 10 российских компаний имеют проблемы на внешнем периметре, которые могут стать потенциальной точкой входа в инфраструктуру. Новый сервис SOC MDR от Центра кибербезопасности F6 обеспечивает полный цикл автономного мониторинга, реагирования и расследования инцидентов ИБ.

Специалисты департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 в ходе мониторинга мошеннических схем обнаружили шаблон фишинговой формы в схеме «Мамонт» на покупку или возврат авиабилетов в Геленджик. Одноразовая мошенническая страница эксплуатирует бренд популярного онлайн-агрегатора авиабилетов. Известны не менее трех скам-групп, которые могут использовать подобные шаблоны.

Злоумышленники создали 47 сайтов, на которых от имени известной компании обещают выплатить гражданам в возрасте до 65 лет часть дохода от продажи природных ресурсов - до 290 тысяч ₽. Специалисты компании F6 направили на блокировку данные веб-ресурсов, которые используют мошенники.

Компания F6 проанализировала активность интернет-пиратов по незаконной трансляции новинок кинопроката. Доля фильмов, доступных в пиратских базах на момент показа в кино, за два года выросла на 21% — с 30% в 2023 году до 51% в 2025-м. Пираты охотятся как за зарубежными, так и за отечественными кинопремьерами: доля слитых в сеть иностранных новинок в 8 раз выше, чем российских.

Новый сценарий мошенничества с фейковыми знакомствами: злоумышленники предлагают провести вечер за совместным просмотром фильма на специальной интернет-платформе и присылают для подключения ссылку, по которой требуется оплатить подписку. Используя эту схему, одна из скам-групп с начала 2025 года обманула более 40 российских пользователей, у них похитили 343 тыс. рублей.

Специалисты обнаружили на ресурсах ряда популярных библиотек вредоносный код, который заражал компьютеры жертв майнерами. Книжные сайты с общей аудиторией около 9 млн посетителей в месяц предположительно были взломаны киберпреступниками. Скрипт, встроенный в сайт, настроен таким образом, что майнер загружается только на десктопное устройство.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, объявила о запуске для флагманского продукта Managed XDR новой версии модуля Malware Detonation Platform (решение класса «песочница»), которая поддерживает российские операционные системы на базе Linux. Модуль Malware Detonation Platform решения F6 Managed XDR — это продвинутая «песочница» (Sandbox), которая принудительно вскрывает — «детонирует», а затем проверяет потенциально опасные файлы и ссылки в изолированной виртуальной среде. Благодаря этому MDP эффективно защищает корпоративную почту, серверы, рабочие станции и сетевой трафик компании от всех типов современных киберугроз и ВПО: стилеров, кейлоггеров, вирусов и шифровальщиков, минимизирует риски утечек данных.

Массовый переход госзаказчиков на российские операционные системы на базе Linux начался в 2020 году и активизировался после ухода из России весной 2022 года западных вендоров, включая Microsoft. Ожидается, что к концу 2025 года большинство российских госорганизаций и госкомпаний сократят долю операционных систем на базе Windows c 95% до 50%, заменив ее Linux.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, запустила открытую платформу для борьбы с онлайн-мошенничеством «Антифишинг». Платформа позволяет пользователям сообщать о фишинговых ресурсах, письмах, ссылках и приложениях с вредоносной программой. Специалисты F6 проверяют информацию и оперативно направляют её регуляторам и профильным организациям для блокировки.

С помощью новой платформы F6 «Антифишинг» пользователи могут участвовать в борьбе с цифровыми угрозами, защищать себя и близких.

Киберпреступники продолжают увеличивать объемы фишинговых и скам-атак. За прошлый год среднее число поддельных ресурсов на один популярный бренд выросло на 28% — с 7878 до 10112. Рост угроз обусловлен развитием мошеннических сообществ и партнерских программ. Электронные письма также представляют опасность: вредоносные фишинговые рассылки остаются ключевым вектором для проникновения в инфраструктуры атакуемых организаций. Большинство сообщений с вредоносным ПО чаще всего содержат программы-шпионы и инфостилеры. Киберпреступники также совершенствуют комбинированные методы атак на пользователей Android, включая фишинг, социальную инженерию и вредоносные приложения.

На платформе F6 «Антифишинг» любой пользователь может сообщить о подозрительном сайте, фишинговом письме, мошеннической ссылке или вредоносном приложении, даже если они получены в личных сообщениях в мессенджерах или социальных сетях. Все заявки проходят проверку экспертами F6, после чего информация передается в профильные организации, регистраторам и хостинг-провайдерам для оперативного блокирования угроз.

SuperCard — новая вредоносная модификация легитимной программы NFCGate. Весной 2025 года она использовалась в атаках на клиентов европейских банков, а меньше чем через месяц злоумышленники начали тестировать её в России.

Злоумышленники размещают объявления о поиске тестировщиков мобильных приложений с доходом от 3000 до 5000 рублей в час. Среди требований – российское гражданство и смартфон на базе Android. Фейковые вакансии размещают на всех возможных площадках: от профильных Telegram-чатов и групп в социальных сетях до популярных платформ бесплатных объявлений, сервисов поиска работы и сайтов для фрилансеров.

Киберпреступники усовершенствовали популярную механику обмана, когда мошенники действуют под видом привлекательных девушек. Для поиска потенциальных жертв такие фейковые анкеты по-прежнему размещают на популярных сайтах знакомств и в тематических Telegram-ботах. Но теперь злоумышленники стремятся убедить пользователей в достоверности фейковых девушек, которые «финансово независимы» и «ищут интересного собеседника». Для этого используют инструменты из мошеннической схемы Fake Date (фальшивое свидание) – голосовые сообщения и кружочки с видео.

Эксперты департамента киберразведки компании F6 представили итоги исследования, посвящённого новым атакам группы PhantomCore, которые были совершены в мае этого года, а также ранее неизвестной активности группы, относящейся к 2022 году. Специалисты F6 выяснили, как менялись инструменты и цели атак PhantomCore: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.

PhantomCore – группировка, атакующая российские и белорусские компании. Впервые специалисты F6 обнаружили её в 2024 году. Отличительная черта PhantomCore – использование вредоносного программного обеспечения (ВПО) собственной разработки.

Лабубу — плюшевые игрушки в виде зубастых монстриков, глобальная мода на них возникла в 2025 году благодаря социальным сетям. На маркетплейсах цена доходит до 10 000 рублей, а на коллекционные версии - до 50 000 рублей. Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили Telegram-боты, в которых Лабубу выступает в качестве приманки для фишинга, а также привлечения пользователей в сомнительные схемы.

Специалисты Центра кибербезопасности компании F6 опубликовали новый блог, в котором подняли проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – «песочницы». Загружаемые файлы могут содержать конфиденциальные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты. Для исследования эксперты F6 взяли публичную онлайн-песочницу Any.Run.

Компания F6 представила результаты исследования дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ. Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт. Дороже всего — доступы в партнерские программы вымогателей — до $100 000, а также 0-day — уязвимости нулевого дня — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000.

Эксперты F6 обнаружили десятки Telegram-ботов, которые торговали бонусами и баллами 55 различных российских торговых сетей и маркетплейсов. Несмотря на активные блокировки со стороны администрации мессенджера, основные поставщики баллов все еще развивают свой теневой бизнес и рекламируются в крупных Telegram-каналах.

Специалисты департамента расследований высокотехнологичных преступлений в ходе масштабного исследования выяснили, как устроен криминальный рынок по продаже баллов программ лояльности, как злоумышленники их получают и кто их покупает, а также подготовили рекомендации для бизнеса по предотвращению таких преступлений.

Совместное исследование* магазина приложений RuStore и компании F6, ведущего разработчика технологий для борьбы с киберпреступностью, на платформе HiTech Mail показало, что 78% пользователей удаляли мобильные приложения из-за сомнений в их надежности. 53% опрошенных хотя бы раз устанавливали приложения из неофициальных источников. Эти пользователи находятся в зоне риска, поскольку могут “заразить” свои Android-устройства вредоносными программами, в том числе CraxsRAT и NFCGate, предупреждают эксперты F6.

Злоумышленники предлагают пользователям Telegram получать доход до 350 евро в день за счёт активного просмотра контента. Отличительная особенность нового сценария мошенничества: он рассчитан на русскоязычных пользователей мессенджеров и соцсетей, которые находятся за пределами РФ либо используют VPN. В схеме инвестскама с этим сценарием задействованы как минимум 22 домена.