F6: хакеры Hive0117 взламывают бухгалтеров в РФ и похищают деньги под видом зарплаты

В России выявили новую схему, с помощью которой финансово мотивированные хакеры Hive0117 атакуют бухгалтеров и крадут через их компьютеры деньги со счетов организаций. Пик активности злоумышленников пришелся на февраль-март 2026 года. В этот период злоумышленники разослали несколько миллионов вредоносных ссылок более чем в 3000 компаний.

Об этом "Газете.Ru" рассказали в пресс-службе компании F6, которая и выявила новую вредоносную кампанию.

Злоумышленники рассылали письма с зараженными RAR-архивами якобы от лица логистических операторов, госведомств и разработчиков сайтов. Чтобы обойти фильтры почтовых сервисов и антивирусов, вредоносные файлы, замаскированные под счета на оплату, акты сверок и накладные, были защищены паролем, который указывался прямо в тексте письма. В результате целевых атак преступники заражали компьютеры специалистов финансовых департаментов трояном удаленного доступа DarkWatchman RAT. Эта программа позволяла хакерам скрытно управлять компьютером, шпионить, загружать другие вирусы и распространяться по корпоративной сети.

Получив контроль над системами дистанционного банковского обслуживания (ДБО), через которые бухгалтеры проводят платежи, мошенники применяли новую тактику обхода продвинутых банковских антифрод-систем. Они оформляли переводы на счета подставных лиц (дропов) по реестру, благодаря чему операции формально выглядели как обычное перечисление заработной платы сотрудникам. Если транзакции не блокировались защитными алгоритмами, преступники успешно выводили средства организаций.

По оценкам аналитиков департамента противодействия финансовому мошенничеству F6, средняя сумма ущерба от одной успешной атаки в конце зимы и начале весны составила около 3 миллионов рублей, а максимальный размер похищенного превысил 14 миллионов рублей.

Группировка Hive0117, также известная как Watch Wolf, активна с февраля 2022 года. В число ее приоритетных целей входят организации в сфере промышленности, ретейла, энергетики, финансов, телекома, транспорта и медиа на территории России, а также компании в Беларуси и Казахстане.