В феврале 2025 года в ходе ежедневного мониторинга угроз аналитики компании F6 обнаружили ранее неизвестную прогосударственную группировку, которой было присвоено имя Telemancon.

Во время исследования инфраструктуры специалисты Threat Intelligence F6 установили, что самая ранняя активность группы датируется февралем 2023 года. Выявленные атаки, судя по содержимому документов-приманок, были направлены на российские организации в сфере промышленности. В частности, были зафиксированы две рассылки в адрес компаний из сферы машиностроения. Группа использует в атаках самописный дроппер и бэкдор, которым были даны имена соответственно TMCDropper и TMCShell.

Эксперты компании F6 оценили доходы мошенников, работавших по схеме Fake Date против жителей России, в праздничные дни — 14 февраля, 23 февраля и 8 марта – в 9,8 млн рублей. Самым прибыльным для мошенников в этом году оказался День святого Валентина, а самый высокий доход обманщикам принесли билеты в фейковые кинотеатры и стендап-шоу.

Компания F6 зафиксировала новую волну угона аккаунтов российских знаменитостей в Instagram* для распространения мошеннических ссылок. Отличительная особенность новой волны — в использовании аудиодипфейков от лица известного человека с предложением принять участие в розыгрыше денежных призов, а также требовании выкупа за возврат аккаунта. За неделю с 6 по 12 марта подписчики знаменитостей потеряли около 6 млн. рублей, участвуя в фейковых "конкурсах от звезды".

В феврале 2025 года у российского малого и среднего бизнеса появилась новая угроза – программа-вымогатель PE32. Название нового семейства созвучно с официальным названием формата исполняемых файлов PE32 (Portable Executable). Об атаках с использованием шифровальщика и о трендах восточных групп вымогателей рассказали в новом блоге криминалисты F6.

Компания F6 предупреждает о новой схеме телефонного мошенничества: злоумышленники запугивают детей для кражи денег со счетов родителей. В феврале 2025 года специалисты зафиксировали около 600 таких случаев – в 5 раз больше, чем в декабре 2024-го, – и число инцидентов продолжает расти. Средняя сумма ущерба от подобных преступлений - ₽80 тысяч. Чаще всего злоумышленники совершают такие кражи ночью, а для входа в личный кабинет онлайн-банка просят детей приложить к экрану смартфона палец спящего родителя, чтобы обойти биометрическую защиту.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, исследовала кражи аккаунтов пользователей Telegram. По данным аналитиков департамента защиты от цифровых рисков Digital Risk Protection,за июль–декабрь 2024 года только одна из русскоязычных групп злоумышленников похитила более 1,2 млн учетных записей пользователей из России и других стран. На момент исследования специалисты F6 обнаружили не менее семи таких групп. В угнанных учетных записях злоумышленников в том числе интересуют цифровая валюта Telegram Stars (звёзды) и коллекционные виртуальные подарки, включая NFT. Они могут выводиться автоматически на подставные учетные записи, а затем, как правило, продаются.

Российский вендор Enterprise ИТ-решений ITPOD и компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, провели совместное тестирование сервера vStack и решения F6 Managed XDR. Испытания показали, что оборудование и ПО бесперебойно работают в едином контуре.

За более чем 20-летнюю историю компании специалисты F6 помогли полиции задержать и отправить за решётку свыше тысячи киберпреступников – вымогателей, кардеров, вирусописателей, скамеров. Наши эксперты приложили руку к исследованию и ликвидации таких преступных групп, как Carberp, Anunak, Cobalt, Cron и других. Но в паблик попадают единицы успешных кейсов. О большинстве расследований не узнают ни журналисты, ни безопасники из ИБ-сообщества. Такая скрытность объясняется, как правило, оперативным интересом и тем, что кибердетективы связаны по рукам и ногам NDA – соглашением о неразглашении.

Стоило большого труда уговорить Вадима Алексеева, руководителя департамента расследований высокотехнологичных преступлений компании F6, немного подсветить внутреннюю кухню кибердетективов и секреты их ремесла, но оно того стоило. Мы узнали, как расследователю помогает интуиция, какие инструменты помогают выстраивать логику событий и какой смертный грех губит хакеров чаще всего.

Эксперты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали в даркнете новую партнёрскую программу Anubis. На первый взгляд она похожа на многие другие, распространяющие программы-вымогатели по модели RaaS (Ransomware as a Service), когда владельцы вредоносного ПО предоставляют его «в аренду» за процент от полученных выкупов. Но среди криминальных предложений от Anubis аналитики F6 обнаружили бизнес-модель, которая ранее не встречалась.

Специалисты Threat Intelligence компании F6 продолжают отслеживать активность группы ReaverBits и разобрали цепочки заражения, применяющиеся злоумышленниками.

ReaverBits (от слов "reaver", то есть "вор", и "bits" — сокращение от Bitbucket — сервиса совместной разработки проектов, используемого атакующими) — это группа киберпреступников, действующая с конца 2023 года. Группировка специализируется на атаках на российские компании в таких ключевых областях, как биотехнологии, розничная торговля, агропромышленный комплекс, телекоммуникации и финансовый сектор.

Отличительными особенностями этой группировки стали целенаправленные атаки исключительно на российские организации, активное использование методов спуфинга при проведении фишинговых атак, а также применение вредоносного ПО класса «стилер» в качестве основной полезной нагрузки.

Крупнейший распространитель всероссийских государственных лотерей «Столото»* и компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, в 2024 году обнаружили и заблокировали 10 533 мошеннических ресурса, которые действовали под видом популярных государственных лотерей, в том числе нелегально использовали бренд «Столото». Из них 9 513 пришлись на мошеннические и фишинговые сайты, 615 — на фейковые посты, аккаунты и группы в соцсетях, еще 51 – на каналы и аккаунты в мессенджерах и 354 – на поддельные мобильные приложения.

Результатом многолетней совместной работы команды «Столото» и специалистов по кибербезопасности из F6 стал тренд на снижение количества мошеннических ресурсов, работающих под видом государственных лотерей.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, представила первый ежегодный аналитический отчет «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25». В анализе детально исследованы основные киберугрозы 2024 года, а также представлены рекомендации и прогнозы на 2025 год. Выводы неутешительные: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся мощнее, а мошенничество переживает очередной ренессанс.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, фиксирует стремительный рост активности мошенников, использующих для атак на клиентов российских банков вредоносный софт на основе легитимного приложения NFCGate. За месяц число подтверждённых атак увеличилось на 80%, средняя сумма ущерба выросла вдвое – до ₽200 тыс., а общая сумма ущерба – более чем в три раза и составила около ₽150 млн.

Аналитики F6 предупреждают: многие пользователи находятся под угрозой кражи денег со счетов с использованием NFCGate, не подозревая об этом. Сейчас в России насчитывается как минимум 114 тыс. скомпрометированных Android-устройств, на которых установлено это вредоносное ПО, способное через NFC-модули перехватывать и передавать данные банковских карт. Эти программы маскируются под приложения банков, госсервисов, мобильных операторов и даже популярных антивирусов.

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, предупреждает о новой уловке телефонных мошенников, использующих схему обмана от имени сотрудников силовых структур. Во время целевой атаки, которая может продолжаться от нескольких часов до суток, злоумышленники направляют жертве на дом поддельные повестки с вызовом для дачи объяснений. Сотрудникам F.A.C.C.T. удалось пресечь мошенничество в отношении жительницы Подмосковья, которой принесли конверт с фейковой повесткой якобы от ФСБ – злоумышленники запугали женщину ответственностью за действия, которых она не совершала, и требовали снять с банковского счёта 2,5 млн рублей.

27 января злоумышленники из TA558 провели масштабную фишинговую атаку, нацеленную на российские и белорусские компании из финансовой, логистической, строительной, туристической и промышленной сферы. Всего за один день, по данным аналитиков F.A.C.C.T., злоумышленники с помощью специального софта разослали письма более чем 76 тыс. целям из 112 стран мира.

Письма от TA558 содержат вложение, загружающее и запускающее RTF-документ, который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении данного сценария на устройстве жертвы запускается программа Remcos RAT — она позволяет преступникам контролировать устройство жертвы.

Группировка ТА558 активна минимум с 2018 г. В 2024 г. аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, госучреждения и банки в России и Беларуси. Цель атак — кража данных и получение доступа к внутренним системам организаций. Группа использует многоэтапные фишинговые атаки и различные методы социальной инженерии. Напомним, что об атаках TA558 эксперты F.A.C.C.T. подробно рассказывали летом 2024.

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, провела испытание на проникновение в информационные системы Selectel, ведущего независимого провайдера IT-инфраструктуры в России. Результатом пентеста стали комплексный анализ защищенности веб-приложений и успешное устранение потенциальных угроз.

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, оценила рынок онлайн-пиратства в России в 2024 году в $36,4 млн (₽3,36 млрд по среднему номинальному курсу ЦБ РФ за год). Доходы нелегальных распространителей видеоконтента упали на 4,2%. Аналитики связывают эти данные с успешной блокировкой пиратских сайтов, удалением ссылок из поисковой выдачи и снижением количества трафика на эти ресурсы. В то же время число пиратских доменов за год выросло на 37,5%: на фоне активного противодействия со стороны правообладателей пиратские онлайн-кинотеатры по-прежнему остаются востребованными, а их владельцы используют новые возможности для привлечения зрителей и затруднения блокировок.

Команда департамента защиты от цифровых рисков F.A.C.C.T. Digital Risk Protection ежегодно в течение последних 10 лет выпускает исследования, посвящённые динамике, трендам и объёмам российского рынка интернет-пиратства. По подсчётам аналитиков, доходы нелегальных распространителей видеоконтента снижаются шесть лет подряд. После рекордного для пиратов 2018 года, когда они заработали $87 млн, к концу 2024 года объём рынка уменьшился почти в 2,5 раза – до $36 млн. Однако темпы падения доходов злоумышленников замедлились: с 16% в 2023 году до 4% в 2024-м – за последние шесть лет это минимальный показатель.

Доходы пиратов в прошлом году снижались пропорционально уменьшению интереса пользователей к нелегальному контенту. Трафик поисковых запросов на пиратские порталы сократился почти на 4%. В то же время зрителей всё больше привлекают легальные онлайн-кинотеатры: число связанных с ними поисковых запросов за 2024 год увеличилось на 25%.

Аналитики Центра кибербезопасности компании F.A.C.C.T. зафиксировали в январе 2025 года массовые атаки кибершпионской группировки Rezet, также известной как Rare Wolf, на российские промышленные предприятия. Только за последнюю неделю января решение F.A.C.C.T. Managed XDR перехватило ряд вредоносных рассылок. Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.

Rezet aka Rare Wolf – кибершпионская группа, активная с октября 2018 года. По данным исследователей, совершила около пятисот кибератак на российские, белорусские и украинские промышленные предприятия. Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, по которому исследователи и назвали группу.

Компания F.A.C.C.T. предупреждает о новой угрозе для клиентов российских банков с использованием легального приложения  NFCGate. Софт, способный через NFC-модули перехватывать и передавать данные банковских карт, злоумышленники маскируют под приложения популярных госсервисов, Центрального банка России, Федеральной налоговой службы. За последние два месяца зафиксировано не менее 400 атак на клиентов ведущих российских банков, общая сумма ущерба оценивается в 40 млн рублей. Аналитики F.A.C.C.T. прогнозируют рост подобных кибератак на пользователей Android-устройств на 25-30% ежемесячно.

Аналитики департамента киберразведки F.A.C.C.T. Threat Intelligence исследовали рассылки злоумышленника, получившего название FakeTicketer. Он действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целями — чиновники и спортивные функционеры. Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле атакующий рассылал уникальное вредоносное ПО — стилер, троян удалённого доступа (RAT) и дроппер с возможностью кражи данных из браузеров. Эти вариации вредоносного ПО получили название Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.