Письмо на миллион: группа Hive0117 взламывает компьютеры бухгалтеров и похищает деньги под видом зарплаты

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новую тактику финансово мотивированных злоумышленников, атакующих российские компании. Киберпреступная группа Hive0117 в ходе целевых атак в феврале-марте 2026 года заражала компьютеры бухгалтеров с использованием вредоносных писем, получала доступ к системам дистанционного банковского обслуживания и выводила деньги на счета дропов, в том числе под видом перечисления зарплаты.  Вредоносные письма были отправлены в адрес более чем 3000 российских организаций. Средняя сумма ущерба компаний от успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.

«Открой меня»

В феврале-марте 2026 года система защиты корпоративной почты F6 Business Email Protection (F6 BEP) обнаружила несколько волн масштабных рассылок вредоносных писем, которые специалисты департамента киберразведки (Threat Intelligence) компании F6 связали с киберпреступной группой Hive0117. Злоумышленники проводили рассылки, ориентированные на бухгалтеров, в адрес более 3000 российских компаний из разных отраслей. В марте частота и масштаб рассылок группы заметно возросли. Вредоносные рассылки клиентам F6 были успешно заблокированы.

Hive0117 — финансово мотивированная группировка, действующая с конца 2021 года. Группа примечательна использованием бесфайлового вредоносного ПО DarkWatchman. Нацелена на финансовые отделы организаций из различных отраслей. Помимо России, среди целей были замечены пользователи из Литвы, Эстонии, Беларуси и Казахстана.

В новой волне атак вредоносные письма отправляли с предположительно скомпрометированных почтовых ящиков, один из которых принадлежит московскому разработчику сайтов и мобильных приложений. Во всех случаях в письмах с темами «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.

DarkWatchman RAT — троян удаленного доступа. Используется группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. Распространяется в основном через фишинговые письма, которые содержат защищённые паролем архивы.

Пример фишингового письма киберпреступной группы Hive0117 с архивом, в котором скрыто вредоносное приложение DarkWatchman.

Пример фишингового письма киберпреступной группы Hive0117 с архивом, в котором скрыто вредоносное приложение DarkWatchman.

Анализ содержимого писем показал, что целевой аудиторией злоумышленников были специалисты финансовых департаментов. Вредоносный файл скрывался в RAR-архивах под видом счетов на оплату, актов сверок, накладных. Пароли к этим архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов.

При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платёжные операции.

Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Доверительный платёж

Особенность атак на бухгалтеров образца 2026 года – в новой тактике, которую злоумышленники применяют для кражи денег со счетов компаний.

Продвинутые антифрод-решения, которые банки используют для защиты клиентов – физических лиц позволяют за считанные доли секунды проанализировать каждую платёжную операцию по множеству параметров и показателей, начиная с устройства пользователя и установленных на нём приложений до контекста транзакции и рисковых признаков. Это позволяет заблокировать подозрительные переводы.

Для вывода денег со счетов организаций киберпреступники применили новую уловку. Используя удалённый доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платёжные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля – начале марта 2026 года составила около 3 млн руб., а максимальная сумма похищенного превысила 14 млн руб.

«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне транзакционной антифрод-системы».

Дмитрий Ермаков

Руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6

Рекомендации специалистов F6 для подразделений информационной безопасности банков

• Усилить защиту клиентов средствами сессионного и транзакционного антифрод-решения.
• Систематически напоминать клиентам об опасности фишинговых рассылок.
• Рекомендовать клиентам использовать изолированные рабочие станции для систем ДБО с ограниченным доступом в интернет.
• Рекомендовать клиентам не оставлять средство подписи (токен) в компьютере.