В преддверии майских праздников и сезона отпусков компания F6 предупреждает о новом сценарии мошенничества с арендой жилья на российских курортах. Скамеры размещают в соцсетях видео с предложением выгодно снять квартиру, для бронирования пользователю присылают ссылку на фишинговый ресурс. По данным F6, размер ущерба обманутых курортников от действий мошеннической группы, которая использует эту схему, составляет от 1000 ₽ до 140 000 ₽.

RuStore усилил защиту пользователей от цифровых угроз — теперь магазин приложений использует систему Digital Risk Protection от компании F6, разработчика технологий для предотвращения и расследования киберпреступлений. Решение на базе ИИ позволяет в автоматическом режиме находить и блокировать фейковые сайты и поддельные приложения, которые маскируются под легальный софт, но могут содержать вредоносное ПО.

Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6. Более 70 000 часов реагирований на инциденты по всему миру, свыше 3500 экспертиз и исследований – это всё про специалистов Лабы (так уважительно называют подразделение внутри компании). Лаба – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки: эти сведения специалисты добывают во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: «Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований».

Эксперты департамента Threat Intelligence компании F6 обнаружили уникальные признаки, позволяющий связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.

Напомним, что в марте этого года специалисты индийской компании Seqrite Labs описали масштабную кибершпионскую кампанию, получившую название Operation HollowQuill. Атака была нацелена на российские промышленные предприятия. По данным исследователей, хакеры использовали во вредоносной рассылке от имени Балтийского государственного технического университета «ВОЕНМЕХ» документы, замаскированные под официальные предложении о проведении фундаментальных и поисковых исследований.

Компания F6, обнаружила новые атаки на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate. Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт. По данным аналитиков F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.

Компания F6 зафиксировала новый сценарий онлайн-мошенничества со знакомствами, в котором приманкой служит бесплатное посещение салона красоты. Скамеры отправляют девушкам «подарочный промокод» и ссылку на онлайн-запись, но в итоге получают контроль над смартфоном: угроза распространяется как на Android-устройства, так и на iPhone. Только за одну неделю от действий мошеннической группы, которая использует эту схему, пострадали более 190 пользователей, у которых злоумышленники похитили 2,7 млн рублей.

По данным экспертов департамента киберразведки F6, в 2024 году количество DDoS-атак в целом увеличилось минимум на 50% — как по количеству, так и по числу задействованных в ботнетах устройств.

Лидер по атакам — группировка IT Army of Ukraine. Она активизировалась еще в феврале 2022-го, и с тех пор не сбавляет обороты. Тренд последнего года — расширение географии их атак с прицелом на регионы.

С весны 2024-го F6 также фиксирует рост количества атак на региональные телеком-операторы. От киберпреступлений особенно страдают приграничные области — Курская и Белгородская. А интернет-ресурсы в Беларуси атаковали группировки IT Army of Ukraine и Himars DDoS.

Компания F6 предупреждает о новой схеме мошенничества. Под предлогом заполнения резюме злоумышленники угоняют аккаунты пользователей Telegram, а затем рассылают по списку контактов сообщения с предложением за деньги пройти опрос от имени партии «Единая Россия». Для этого предлагается скачать фейковое мобильное приложение с Android-трояном, после его установки преступники получают возможность вывести деньги со счетов жертвы. С 20 февраля по 15 марта от действий мошеннической группы, которая использует эту схему, пострадали 770 пользователей, у которых мошенники похитили без малого 6 млн рублей.

В феврале 2025 года в ходе ежедневного мониторинга угроз аналитики компании F6 обнаружили ранее неизвестную прогосударственную группировку, которой было присвоено имя Telemancon.

Во время исследования инфраструктуры специалисты Threat Intelligence F6 установили, что самая ранняя активность группы датируется февралем 2023 года. Выявленные атаки, судя по содержимому документов-приманок, были направлены на российские организации в сфере промышленности. В частности, были зафиксированы две рассылки в адрес компаний из сферы машиностроения. Группа использует в атаках самописный дроппер и бэкдор, которым были даны имена соответственно TMCDropper и TMCShell.

Эксперты компании F6 оценили доходы мошенников, работавших по схеме Fake Date против жителей России, в праздничные дни — 14 февраля, 23 февраля и 8 марта – в 9,8 млн рублей. Самым прибыльным для мошенников в этом году оказался День святого Валентина, а самый высокий доход обманщикам принесли билеты в фейковые кинотеатры и стендап-шоу.

Компания F6 зафиксировала новую волну угона аккаунтов российских знаменитостей в Instagram* для распространения мошеннических ссылок. Отличительная особенность новой волны — в использовании аудиодипфейков от лица известного человека с предложением принять участие в розыгрыше денежных призов, а также требовании выкупа за возврат аккаунта. За неделю с 6 по 12 марта подписчики знаменитостей потеряли около 6 млн. рублей, участвуя в фейковых "конкурсах от звезды".

В феврале 2025 года у российского малого и среднего бизнеса появилась новая угроза – программа-вымогатель PE32. Название нового семейства созвучно с официальным названием формата исполняемых файлов PE32 (Portable Executable). Об атаках с использованием шифровальщика и о трендах восточных групп вымогателей рассказали в новом блоге криминалисты F6.

Компания F6 предупреждает о новой схеме телефонного мошенничества: злоумышленники запугивают детей для кражи денег со счетов родителей. В феврале 2025 года специалисты зафиксировали около 600 таких случаев – в 5 раз больше, чем в декабре 2024-го, – и число инцидентов продолжает расти. Средняя сумма ущерба от подобных преступлений - ₽80 тысяч. Чаще всего злоумышленники совершают такие кражи ночью, а для входа в личный кабинет онлайн-банка просят детей приложить к экрану смартфона палец спящего родителя, чтобы обойти биометрическую защиту.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, исследовала кражи аккаунтов пользователей Telegram. По данным аналитиков департамента защиты от цифровых рисков Digital Risk Protection,за июль–декабрь 2024 года только одна из русскоязычных групп злоумышленников похитила более 1,2 млн учетных записей пользователей из России и других стран. На момент исследования специалисты F6 обнаружили не менее семи таких групп. В угнанных учетных записях злоумышленников в том числе интересуют цифровая валюта Telegram Stars (звёзды) и коллекционные виртуальные подарки, включая NFT. Они могут выводиться автоматически на подставные учетные записи, а затем, как правило, продаются.

Российский вендор Enterprise ИТ-решений ITPOD и компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, провели совместное тестирование сервера vStack и решения F6 Managed XDR. Испытания показали, что оборудование и ПО бесперебойно работают в едином контуре.

За более чем 20-летнюю историю компании специалисты F6 помогли полиции задержать и отправить за решётку свыше тысячи киберпреступников – вымогателей, кардеров, вирусописателей, скамеров. Наши эксперты приложили руку к исследованию и ликвидации таких преступных групп, как Carberp, Anunak, Cobalt, Cron и других. Но в паблик попадают единицы успешных кейсов. О большинстве расследований не узнают ни журналисты, ни безопасники из ИБ-сообщества. Такая скрытность объясняется, как правило, оперативным интересом и тем, что кибердетективы связаны по рукам и ногам NDA – соглашением о неразглашении.

Стоило большого труда уговорить Вадима Алексеева, руководителя департамента расследований высокотехнологичных преступлений компании F6, немного подсветить внутреннюю кухню кибердетективов и секреты их ремесла, но оно того стоило. Мы узнали, как расследователю помогает интуиция, какие инструменты помогают выстраивать логику событий и какой смертный грех губит хакеров чаще всего.

Эксперты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали в даркнете новую партнёрскую программу Anubis. На первый взгляд она похожа на многие другие, распространяющие программы-вымогатели по модели RaaS (Ransomware as a Service), когда владельцы вредоносного ПО предоставляют его «в аренду» за процент от полученных выкупов. Но среди криминальных предложений от Anubis аналитики F6 обнаружили бизнес-модель, которая ранее не встречалась.

Специалисты Threat Intelligence компании F6 продолжают отслеживать активность группы ReaverBits и разобрали цепочки заражения, применяющиеся злоумышленниками.

ReaverBits (от слов "reaver", то есть "вор", и "bits" — сокращение от Bitbucket — сервиса совместной разработки проектов, используемого атакующими) — это группа киберпреступников, действующая с конца 2023 года. Группировка специализируется на атаках на российские компании в таких ключевых областях, как биотехнологии, розничная торговля, агропромышленный комплекс, телекоммуникации и финансовый сектор.

Отличительными особенностями этой группировки стали целенаправленные атаки исключительно на российские организации, активное использование методов спуфинга при проведении фишинговых атак, а также применение вредоносного ПО класса «стилер» в качестве основной полезной нагрузки.

Крупнейший распространитель всероссийских государственных лотерей «Столото»* и компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, в 2024 году обнаружили и заблокировали 10 533 мошеннических ресурса, которые действовали под видом популярных государственных лотерей, в том числе нелегально использовали бренд «Столото». Из них 9 513 пришлись на мошеннические и фишинговые сайты, 615 — на фейковые посты, аккаунты и группы в соцсетях, еще 51 – на каналы и аккаунты в мессенджерах и 354 – на поддельные мобильные приложения.

Результатом многолетней совместной работы команды «Столото» и специалистов по кибербезопасности из F6 стал тренд на снижение количества мошеннических ресурсов, работающих под видом государственных лотерей.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, представила первый ежегодный аналитический отчет «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25». В анализе детально исследованы основные киберугрозы 2024 года, а также представлены рекомендации и прогнозы на 2025 год. Выводы неутешительные: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся мощнее, а мошенничество переживает очередной ренессанс.