Компания F6 представила результаты исследования дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ. Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт. Дороже всего — доступы в партнерские программы вымогателей — до $100 000, а также 0-day — уязвимости нулевого дня — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000.

Эксперты F6 обнаружили десятки Telegram-ботов, которые торговали бонусами и баллами 55 различных российских торговых сетей и маркетплейсов. Несмотря на активные блокировки со стороны администрации мессенджера, основные поставщики баллов все еще развивают свой теневой бизнес и рекламируются в крупных Telegram-каналах.

Специалисты департамента расследований высокотехнологичных преступлений в ходе масштабного исследования выяснили, как устроен криминальный рынок по продаже баллов программ лояльности, как злоумышленники их получают и кто их покупает, а также подготовили рекомендации для бизнеса по предотвращению таких преступлений.

Совместное исследование* магазина приложений RuStore и компании F6, ведущего разработчика технологий для борьбы с киберпреступностью, на платформе HiTech Mail показало, что 78% пользователей удаляли мобильные приложения из-за сомнений в их надежности. 53% опрошенных хотя бы раз устанавливали приложения из неофициальных источников. Эти пользователи находятся в зоне риска, поскольку могут “заразить” свои Android-устройства вредоносными программами, в том числе CraxsRAT и NFCGate, предупреждают эксперты F6.

Злоумышленники предлагают пользователям Telegram получать доход до 350 евро в день за счёт активного просмотра контента. Отличительная особенность нового сценария мошенничества: он рассчитан на русскоязычных пользователей мессенджеров и соцсетей, которые находятся за пределами РФ либо используют VPN. В схеме инвестскама с этим сценарием задействованы как минимум 22 домена.

Компания F6 в преддверии Дня Победы зафиксировала распространение фейковых новостей о социальных выплатах. Злоумышленники через сеть Telegram-каналов распространяют о том, что выплата полагается «каждому гражданину РФ в размере от 38 925 рублей без учёта нуждаемости». Эти фейки используют для привлечения трафика в схемы инвестиционного мошенничества. У каждого из Telegram-каналов, разместивших ложную информацию – от 37 тысяч до 280 тысяч подписчиков, в их описании отсутствуют отметки о регистрации в РКН.

Специалисты Threat Intelligence компании F6 зафиксировали активность группировки шпионов Core Werewolf, направленную на военные организации Беларуси и России.

Core Werewolf — кибершпионская группа, которая активно атакует российские и белорусские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Первые атаки были замечены в августе 2021 года. В своих кампаниях группа использует ПО UltraVNC и MeshCentral.

29 апреля специалисты Threat Intelligence компании F6 отследили активность группировки Hive0117, которая провела масштабную фишинговую атаку, ориентированную на российские компании. Целевые отрасли: медиа, туризм, финансы и страхование, производство, ритейл, энергетика, телеком, транспорт, биотехнологии.

Hive0117 — это финансово-мотивированная группировка, которая проводит атаки с февраля 2022 года с использованием ВПО DarkWatchman. Рассылки носят массовый характер. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Цели были выявлены в России, Беларуси, Литве, Эстонии, Казахстане.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новом сценарии мошенничества, в котором используется бренд государственного фонда «Защитники Отечества». В преддверии Дня Победы злоумышленники создали сайты, на которых от имени фонда предлагают заработать до 30 млн ₽ в фейковой социальной программе. Специалисты компании F6 направили на блокировку данные веб-ресурсов, которые используют мошенники, сейчас они уже заблокированы на территории России.

Компания F6 обнаружила новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков. Главное отличие: вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты. Когда в результате атаки мошенников жертва через банкомат попытается зачислить деньги на свой счёт, вся сумма отправится на карту дропа. Общий ущерб клиентов российских банков от использования всех вредоносных версий NFCGate за первый квартал 2025 года составил 432 млн рублей.

С января по март 2025 года аналитики департамента киберразведки компании F6 зафиксировали 67 новых случаев публикации баз данных российских компаний, оказавшихся на андеграундных форумах и в тематических Telegram-каналах. По сравнению с аналогичным периодом прошлого года количество баз уменьшилось на 29% — в первом квартале 2024 года было опубликовано 95 баз данных. Об этом на совместной пресс-конференции Ассоциации BISA и ГК InfoWatch рассказал технический директор компании F6 Никита Кислицин.

Компания F6 исследовала структуру онлайн-пиратства в России. По оценкам экспертов, 12 основных пиратских CDN (Content Distribution Network) снабжают пиратским контентом до 90% нелегальных онлайн-кинотеатров. При этом ресурсы, входящие в инфраструктуру CDN, хостятся в Нидерландах, США, Германии, Франции и на Украине. Специалисты предупреждают любителей нелегального контента: почти 39% пиратских сайтов оказались небезопасными — они содержат вирусы и уязвимости.

Боты предназначены для фишинга, угона аккаунтов и рекламы инвестскама. Они предлагают получить подарок или приз при условии подписки на определённые Telegram-каналы. Злоумышленники действуют от имени Telegram, Roblox и популярных маркетплейсов, этими ботами уже воспользовались более 120 тыс. пользователей.

Злоумышленники размещают объявления о сдаче внаём квартир в новых ЖК, назначают встречу, а для входа на закрытую территорию предлагают пройти регистрацию в системе «Умный дом», благодаря которой получают доступ к банковскому счёту пользователя. Преступники привлекают внимание пользователей низкой стоимостью аренды, на 20-40% ниже средней. От действий мошеннической группы, которая использует эту схему с начала марта 2025 года, пострадали более 1000 пользователей, у которых похитили 11,7 млн рублей.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила в Telegram схему распространения вредоносных программ для атак мобильных устройств на базе Android через боты, где жертвам предлагается скачать модифицированные популярные игры (моды) и приложения. Для продвижения злоумышленники создают Telegram-каналы, посвященные Roblox, Minecraft и другим популярным у детей играм.

Аналитики департамента защиты от цифровых рисков Digital Risk Protection компании F6 заметили Telegram-каналы, которые предлагают пользователям скачать моды популярных игр и приложения. Например, канал «Роблокс Моды» (245 000 подписчиков) предлагает скачать моды для Roblox («полёт», «высокий прыжок», «ходьба сквозь стены») и других игр, а также приложение TikTok без ограничений и рекламы. Пройдя по ссылке, пользователь попадает в бот, где его сначала просят подписаться на несколько Telegram-каналов, а потом предлагается скачать apk-файл. В приложении по ссылке спрятано вредоносное программное обеспечение, нацеленное на пользователей Android, которое может красть чувствительную информацию, данные о банковских аккаунтах, логинах и паролях, а также выполнять удалённые команды и менять настройки устройства.

Специалисты компании F6 отмечают, что все обнаруженные ими мошеннические сайты зарегистрированы недавно, в период с 18 марта по 4 апреля. Ресурсы созданы по единому шаблону, но структура ссылок отличается, что позволяет предположить: скам-ресурсы с эмблемами цифрового рубля используют несколько мошеннических партнёрских программ.

В преддверии майских праздников и сезона отпусков компания F6 предупреждает о новом сценарии мошенничества с арендой жилья на российских курортах. Скамеры размещают в соцсетях видео с предложением выгодно снять квартиру, для бронирования пользователю присылают ссылку на фишинговый ресурс. По данным F6, размер ущерба обманутых курортников от действий мошеннической группы, которая использует эту схему, составляет от 1000 ₽ до 140 000 ₽.

RuStore усилил защиту пользователей от цифровых угроз — теперь магазин приложений использует систему Digital Risk Protection от компании F6, разработчика технологий для предотвращения и расследования киберпреступлений. Решение на базе ИИ позволяет в автоматическом режиме находить и блокировать фейковые сайты и поддельные приложения, которые маскируются под легальный софт, но могут содержать вредоносное ПО.

Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6. Более 70 000 часов реагирований на инциденты по всему миру, свыше 3500 экспертиз и исследований – это всё про специалистов Лабы (так уважительно называют подразделение внутри компании). Лаба – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки: эти сведения специалисты добывают во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: «Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований».

Эксперты департамента Threat Intelligence компании F6 обнаружили уникальные признаки, позволяющий связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.

Напомним, что в марте этого года специалисты индийской компании Seqrite Labs описали масштабную кибершпионскую кампанию, получившую название Operation HollowQuill. Атака была нацелена на российские промышленные предприятия. По данным исследователей, хакеры использовали во вредоносной рассылке от имени Балтийского государственного технического университета «ВОЕНМЕХ» документы, замаскированные под официальные предложении о проведении фундаментальных и поисковых исследований.

Компания F6, обнаружила новые атаки на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate. Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт. По данным аналитиков F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.