Хакеры Hive0117 начисляют себе зарплату в российских компаниях
3 мин
62
1
Киберпреступная группа Hive0117 атакует российские компании, отправляя бухгалтерам письма с вредоносным содержимым. Как сообщила компания F6, хакеры начали массово применять новую тактику в феврале-марте 2026 года. Получив доступ к системам дистанционного банковского обслуживания, злоумышленники выводили деньги на счета посредников, в том числе под видом зарплаты.
Опасная рассылка была отправлена на адреса трёх тысяч российских организаций. Средний ущерб от успешных атак составил около 3 млн рублей, а максимальная сумма похищенного превысила 14 млн.
Hive0117 — это финансово мотивированная хакерская группировка, которая работает с конца 2021 года и атакует финансовые отделы организаций из разных отраслей. Помимо российских компаний, под прицелом оказались организации из Литвы, Эстонии, Беларуси и Казахстана.
DarkWatchman RAT, который хакеры используют для скрытого доступа к заражённому компьютеру, представляет собой троян удалённого доступа. Троян может выполнять различные команды: загружать другие вредоносы, шпионить, распространять себя дальше по Сети. Обычно он попадает на устройства через фишинговые письма с защищёнными паролем архивами.
В новой волне атак вредоносные письма отправляли с предположительно взломанных почтовых ящиков. Один из них принадлежал московскому разработчику сайтов и мобильных приложений. Среди тем писем были «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения».
Вредоносный файл был спрятан в RAR-архивах, прикреплённых к письму. Пароли к ним указывали прямо в тексте сообщения, что позволяло киберпреступникам обойти фильтры почтовых сервисов и антивирусы.
Открыв архив, пользователь запускал скрытый файл, который устанавливал троян. После этого злоумышленники получали доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры проводят платёжные операции.
Особенность атак 2026 года — новая тактика кражи денег со счетов компаний. Продвинутые антифрод-решения банков анализируют каждую платёжную операцию за доли секунды по множеству параметров. Это блокирует подозрительные переводы. Чтобы избежать подобного сценария, киберпреступники получали удалённый доступ к системам ДБО через взломанные компьютеры бухгалтеров и оформляли платежи для зачисления на банковские счета по реестру. Формально операции выглядели как начисление зарплаты, но в реестре указывались банковские счета дропов. Если такие операции не проходили через антифрод-системы, злоумышленники выводили со счетов компаний крупные суммы другими способами.
