Новая угроза для пользователей Minecraft: под видом модов для популярной игры злоумышленники распространяют вредоносное приложение WeedHack для Windows, которое позволяет похищать данные геймеров и их криптокошельки, а также получать доступ к их аккаунтам в Telegram. Ссылки на вредоносные файлы распространяют через короткие видео в TikTok.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, исследовала Android‑троян LunaSpy, который злоумышленники доставили жертве сразу вместе со смартфоном. Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 зафиксировали в феврале‑марте текущего года около 300 таргетированных атак с применением LunaSpy на клиентов российских банков.

LunaSpy — шпионское вредоносное программное обеспечение для операционной системы Android, осуществляет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных.

Злоумышленники используют LunaSpy таргетировано после первичного этапа атаки с использованием социальной инженерии. В исследованном кейсе LunaSpy был доставлен жертве вместе с Android‑устройством, на которое ВПО уже было установлено заранее. Злоумышленники внушили жертве, что доставленный смартфон обеспечит большую конфиденциальность и безопасность.

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) F6 зафиксировали около 300 атак киберпреступников с использованием LunaSpy. Исследованные образцы маскировались под антивирусное решение System framework, но также ВПО может скрываться под другими названиями.

Кроме целого арсенала для слежки за пользователем устройства, LunaSpy может включать функционал самозащиты, препятствующий его удалению. При обнаружении окна для удаления приложения, под которым скрывается троян, LunaSpy выполняет нажатие системной кнопки «Назад» и отправляет сообщение на сервер злоумышленникам.

Специалисты компании F6, российского разработчика технологий для борьбы с киберугрозами, проанализировали ситуацию с утечками баз данных российских компаний, впервые выложенных в публичный доступ в первом квартале 2026 года.

Специалисты департамента киберразведки (Threat Intelligence) компании F6 исследовали атаку киберпреступной группы Unicorn на авиастроительную отрасль и выявили ряд изменений по сравнению в более ранней активностью злоумышленников.

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новую тактику финансово мотивированных злоумышленников, атакующих российские компании. Киберпреступная группа Hive0117 в ходе целевых атак в феврале-марте 2026 года заражала компьютеры бухгалтеров с использованием вредоносных писем, получала доступ к системам дистанционного банковского обслуживания и выводила деньги на счета дропов, в том числе под видом перечисления зарплаты.  Вредоносные письма были отправлены в адрес более чем 3000 российских организаций. Средняя сумма ущерба компаний от успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала атаки проукраинской группы Bearlyfy, которая провела более 70 атак на российские компании с момента своего появления в январе 2025 года. Первоначальные суммы запрашиваемого группой выкупа достигают сотен тысяч долларов. С марта 2026 года Bearlyfy стали использовать программы-вымогатели собственной разработки, для Windows – шифровальщик под названием GenieLocker.

Bearlyfy (также известная как Labubu) является группой двойного назначения для нанесения максимального ущерба российскому бизнесу: целями атак является как вымогательство для получения финансовой выгоды, так и совершение диверсий.

Компания F6 проанализировала тенденции развития атак вредоносных ботов на российский бизнес. За два года доля таких атак в интернет-трафике защищаемых ресурсов увеличилась с 30% до 41%. Вектор угроз сместился от классических сетевых DDoS-атак к действиям непосредственно против веб-приложений (Application Layer). Действия ботов становятся всё более «человечными»: такие атаки максимально похожи на действия реальных пользователей, что мешает их блокировать. Помимо роста затрат бизнеса на защиту сервисов, атаки ботов создают препятствия для действий легитимных клиентов и тем самым влияют на прибыль компаний.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала атаки персидской партнерской программы C77L, распространяющей программу-вымогатель по модели RaaS (Ransomware as a Service). На счету участников C77L насчитывается не менее 40 атак на российские малые и средние компании, а первоначальная сумма заявленного выкупа достигала 2 400 000 рублей.

По данным экспертов Лаборатории цифровой криминалистики F6, партнерская программа C77L появилась в марте 2025 года. Ее участники активно атакуют российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг. Также среди пострадавших оказались и государственные организации. По итогам 2025 года C77L заняла шестое место по количеству атак с использованием программ-вымогателей.

В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, колебались от 400 000 до 2 400 000 рублей (5000–30 000 долларов США).

Крупнейший распространитель всероссийских государственных лотерей «Столото»* и компания F6, российский разработчик технологий для борьбы с киберпреступлениями, в 2025 году обнаружили и заблокировали 7 976 мошеннических ресурсов, которые действовали под видом популярных всероссийских государственных лотерей, в том числе нелегально использовали бренд «Столото».

В 2025 году сохранился тренд на сокращение числа обнаруженных мошеннических ресурсов. Так, в 2024 году было заблокировано 10 533 мошеннических ресурса. В 2023 году было заблокировано 9 704 мошеннических ресурса, в 2022 году, на старте работы «Столото» совместно с экспертами по кибербезопасности, — 38 470 мошеннических ресурсов.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, подвела предварительные итоги 2025 года. Наряду с тем, что количество и интенсивность атак на российские компании относительно стабилизировалась, сохраняется рост числа проправительственных АPT-групп, группировок вымогателей, финансово и политически мотивированных групп. В публичном доступе в уходящем году оказалось более 760 млн строк с данными россиян, а рекорд по сумме выкупа для зашифрованной компании достиг 500 млн рублей.

После атак через сервис электронного документооборота «Контур.Диадок» в третьем квартале 2025 года злоумышленники переключились на создание инфраструктуры для распространения ВПО Buhtrap  через привычную схему с сайтами-приманками для бухгалтеров и юристов.

В преддверии форума «Зерно и масличные 2025», который состоится 30 октября в Москве, злоумышленники направили вредоносное письмо в адрес агропромышленного предприятия, замаскированное под программу форума. Также, как выяснили специалисты F6, в октябре атаки Cloud Atlas были направлены на предприятия оборонно-промышленного комплекса, в том числе под видом запроса демографических данных.

Компания F6 исследовала основные угрозы, векторы атак и тактики киберпреступников, атакующих российские компании в 2024–2025 годах. По данным Центра кибербезопасности (ЦК) F6, 37% инцидентов были связаны с майнерами криптовалют, а загрузка пользователями программ с вредоносной нагрузкой из непроверенных ресурсов оказалась самым распространенным вектором компрометации.

Компания F6, ведущий российский разработчик решений в области кибербезопасности, объявляет о запуске новой версии EDR-агента (Endpoint Detection and Response) с поддержкой российских операционных систем семейства Linux. Обновление EDR-агента, входящего в состав флагманского решения F6 Managed XDR, стало логичным ответом на растущие киберугрозы и переход компаний и организаций на российские ОС.

Решение EDR 3.0 с поддержкой российских операционных систем семейства Linux, включая Astra Linux, RedOS и РОСА можно использовать как самостоятельный модуль для защиты конечных устройств или как часть платформы F6 Managed XDR. Встроенные механизмы EDR позволяют в реальном времени обнаруживать сложные киберугрозы на персональных компьютерах и серверах, изолировать зараженные устройства, нейтрализовать вредоносную активность и собирать криминалистические данные для последующего анализа. Решение предлагает глубокий сбор телеметрии без потери производительности и единый интерфейс для управления агентами вне зависимости от операционной системы.

Злоумышленники создали сайты-двойники благотворительного фонда, на которых под предлогом финансовой поддержки бойцов и их родных предлагают получать по 500 тысяч рублей ежемесячно за счёт участия в фейковой инвестиционной программе. Для обмана пользователей скамеры размещают на сайтах видеодипфейки с отзывами от имени участников спецоперации.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала фишинговые атаки новой группы ComicForm, нацеленные на российские компании в сферах финансов, туризма, биотехнологий, исследований и торговли, а также на белорусские и казахстанские организации. Через фишинговые письма злоумышленники распространяли стилер FormBook для кражи данных, а во вложениях прячут ссылки на картинки с героями комиксов, в частности, Бэтменом.

Аналитики департамента киберразведки F6 (Threat Intelligence) зафиксировали фишинговую кампанию, которая проводилась в мае — июне 2025 года и была направлена на российские организации. Темы вредоносных писем — «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и т.д. — должны были подтолкнуть пользователей открыть вложения. В файле из сообщения была спрятана вредоносная программа-загрузчик, которая в свою очередь устанавливала на компьютер жертвы стилер FormBook для кражи данных.

Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на анимированные изображения с супергероями в формате GIF, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя «ComicForm».

Аналитики F6 и RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру злоумышленников, заражавших мобильные устройства пользователей вредоносным ПО для кражи денег и конфиденциальных данных. Троян DeliveryRAT маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Экспертам стало известно как минимум о трех скам-группах, привлекающих жертв на вредоносные ресурсы для установки ВПО.

Напомним, что летом 2024 года специалисты F6 обнаружили новый Android-троян и дали ему имя DeliveryRAT (Remote Access Trojan). Его основной задачей являлся сбор конфиденциальных данных для оформления кредитов в микрофинансовых организациях или кража денег из онлайн-банкинга.

Позднее эксперты выявили telegram-бот «Bonvi Team», где DeliveryRAT был представлен как услуга (Malware-as-a-Service, MaaS). Именно в специальных telegram-ботах злоумышленники генерируют ссылки на фейковые сайты, с которых происходит скачивание вредоносных APK-файлов на Android-устройства.  После того как жертва, кликнув на ссылку, скачивает вредоносное приложение с поддельной страницы, она может лишиться конфиденциальных данных и денег на счете. 

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новой тактике инвестиционного мошенничества. Под предлогом участия в фейковых программах злоумышленники уговаривают потенциальных жертв перечислить первый взнос на счета реальных благотворительных фондов. Только в «Русфонд» с февраля по август 2025 года поступили переводы как минимум от 356 человек на общую сумму свыше 4,6 млн рублей — теперь организация возвращает эти деньги пострадавшим от действий мошенников. За счёт переводов фондам киберпреступники пытаются укрепить доверие потенциальных жертв, чтобы получить полный доступ к их банковским счетам и похитить максимальную сумму.

Нечаянная жертва

В августе 2025 года сотрудники благотворительного фонда «Русфонд» обратились к специалистам F6 за консультацией.

На протяжении семи месяцев, начиная с февраля, в фонд стали поступать странные перечисления с пометкой «Платёж себе». Деньги приходили от разных людей, однако суммы таких переводов были примерно одинаковыми — от 13,8 тыс. до 14 тыс. рублей. Некоторые из тех, кто перечислил деньги, впоследствии попросили вернуть пожертвования. Свои действия они объяснили тем, что перевод произошёл против их воли.

Эксперты департамента компании F6 по противодействию финансовому мошенничеству (Fraud Protection) проанализировали сведения, которые сотрудникам «Русфонда» удалось получить от пользователей, переводивших деньги благотворительной организации по указанию неизвестных. Вывод специалистов: фонд столкнулся с новой тактикой злоумышленников, работающих по схемам инвестиционного мошенничества.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала мошеннические атаки на российские компании в первом полугодии 2025 года. Около 80 % всех создаваемых мошеннических ресурсов эксплуатируют бренды известных компаний, а самая атакуемая отрасль — ритейл. На нее пришлось 50% всех фишинговых и 32% скам-атак текущего года.

В июне 2025 года специалисты F6 Threat Intelligence обнаружили новую вредоносную активность, которую назвали  Phantom Papa. Злоумышленники рассылали письма весьма фривольного содержания на русском и английском языках с вредоносными вложениями, содержащими новый Phantom Stealer. Все подробности — в новом блоге.

Это ВПО основано на коде ВПО Stealerium и позволяет собирать пароли, банковскую и криптовалютную информацию, содержимое браузеров и мессенджеров. Также у него есть функция антианализа, автозапуска, кейлоггер и поддержка популярных обфускаторов. Для эксфильтрации данных может использовать Telegram, Discord или SMTP.