Компания F6, российский разработчик решений для защиты от киберугроз, изучила действия киберпреступной группировки Hive0117, направленные на финансовые отделы организаций в России, Белоруссии, Казахстане и Узбекистане. Начиная с 2026 года злоумышленники атаковали более 3000 предприятий из различных секторов: используя вредоносные письма, они заражали компьютеры бухгалтеров и похищали средства на счета дропов, в том числе под видом выплаты зарплаты. Согласно данным F6, около 400 атак Hive0117 на российские компании завершились успехом, а средний размер ущерба вырос до 10 млн рублей. Об этом CNews проинформировали представители F6.
Тысячи получателей
Эксперты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 опубликовали анализ новой волны атак финансово мотивированной киберпреступной группы Hive0117 на компании в России и странах СНГ, которые осуществляются с начала 2026 года.
Группировка Hive0117 действует с конца 2021 года. В своих атаках она применяет бесфайловое вредоносное ПО DarkWatchman. Целью злоумышленников являются финансовые отделы организаций из разных отраслей. Преступники маскируются под легитимные компании, создают инфраструктуру для рассылок и управляющих доменов, причем домены часто используются повторно. Для группировки характерны периоды активности — после массовых рассылок обычно наступает затишье, иногда длительностью до нескольких месяцев.
В январе 2026 года злоумышленники начали рассылать вредоносные письма бухгалтерам. Только в России жертвами киберпреступников стали более 3000 компаний из различных отраслей. Кроме того, по информации департамента киберразведки (Threat Intelligence) компании F6, среди адресатов рассылок группы Hive0117 оказались организации из СНГ, включая как минимум шесть компаний в Белоруссии (из сфер телекоммуникаций, промышленности, торговли и других), три — в Казахстане (интернет-магазины и предприятие химической промышленности) и одна — в Узбекистане (производитель напитков).
Пик рассылок пришелся на февраль-март 2026 года, после чего их интенсивность снизилась и уменьшилась в десятки раз. В некоторых случаях вредоносные письма рассылались от имени ранее скомпрометированной организации ее контрагентам, что повышало вероятность успеха атаки. Вредоносные рассылки в адрес клиентов компании F6 были успешно остановлены системой защиты корпоративной почты F6 Business Email Protection (F6 BEP).
Стадо троянов
Схема атак была следующей. Злоумышленники отправляли вредоносные письма, маскируя их под обычную деловую переписку. Преступники использовали, например, такие темы писем, как: «Документы от <дата направления письма>», «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате».
Вредоносный объект маскировался внутри исполняемых EXE-файлов или RAR-архивов, выдавая себя за документы. Пароли для доступа к архивам приводились в теле письма – таким образом киберпреступники пытались обойти защиту почтовых фильтров и антивирусных программ, скрывая вредоносное ПО. Когда пользователь открывал архив, он активировал встроенный файл, что вело к инсталляции трояна удаленного доступа DarkWatchman.
Для проникновения в системы дистанционного банковского обслуживания, через которые бухгалтеры выполняют платежные операции, злоумышленники дополнительно развертывали кейлоггер. Эта вредоносная программа дает преступникам возможность не только перехватывать данные с клавиатуры и из буфера обмена, но также выявлять, подключен ли криптографический токен к USB-порту компьютера. Этот аспект крайне значим для атакующих, поскольку наличие токена является обязательным условием для аутентификации в кабинете дистанционного банковского обслуживания юридического лица.
Как только бухгалтер на инфицированном устройстве вставляет криптографический токен в USB-разъем, злоумышленники устанавливают еще одно приложение. Обычно это инструмент удаленного администрирования или троян удаленного доступа, который позволяет управлять экраном зараженного компьютера. В результате преступники получают доступ к паролям, сохраненным в браузере, активным сессиям и прочим пользовательским данным. Бухгалтер, работая за компьютером, может даже не замечать параллельных действий злоумышленников.
Призрачная ведомость
В 2026 году группировка Hive0117 прибегла к новой стратегии для хищения средств с корпоративных счетов.
Современные антифрод-системы, применяемые банками для защиты клиентов – физических лиц, способны за доли секунды оценить каждую платежную операцию по множеству критериев и индикаторов: от используемого устройства и установленного на нем софта до контекста транзакции и факторов риска. Это позволяет блокировать подозрительные переводы.
Используя удаленный доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, участники Hive0117 оформляют платежи для зачисления на банковские счета по реестру. Формально это выглядит как перечисление заработной платы, однако в реестре фигурируют счета дропов. Если такие транзакции не отсеиваются антифрод-системами, злоумышленники получают шанс вывести крупные суммы с корпоративных счетов.
По оценкам F6, с начала 2026 года около 400 атак группировки Hive0117 на российские компании завершились успехом. Средний ущерб от этих инцидентов в марте-апреле увеличился с 3 млн до 10 млн рублей.
«Угрозы финансового мошенничества меняются с невероятной скоростью. Атаки, направленные как на частных лиц, так и на организации, становятся всё изощреннее, а злоумышленники постоянно применяют новые методы и инструменты. Поэтому ключевая задача — остановить преступника на начальных стадиях атаки. Не позволить ему получить доступ к счету клиента, его личным данным или банковской тайне. Следовательно, вендор обязан предложить банку эффективное решение, способное нейтрализовать все виды современных угроз на любом этапе, предотвращая финансовые и прочие убытки», — отметил Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.
Советы F6 для бухгалтеров и работников финансовых отделов
Не открывайте файлы от неизвестных отправителей без предварительной проверки.
Если вы подозреваете вредоносную активность на компьютере, немедленно отключите его от внешней сети.
Рекомендации F6 для отделов информационной безопасности банков
Укрепите защиту клиентов с помощью сессионных и транзакционных антифрод-решений.
Регулярно информируйте клиентов о рисках фишинговых писем и скачивания файлов с ненадежных сайтов.
Предлагайте клиентам использовать изолированные рабочие станции для систем ДБО с ограниченным доступом в интернет.
Советуйте клиентам не оставлять токен (средство подписи) подключенным к компьютеру.
Внедрите на устройстве пользователя дополнительные защитные меры для обнаружения сторонних вредоносных программ.
При настройке двухфакторной аутентификации через СМС учитывайте приложения для чтения сообщений, установленные на устройстве клиента.
В рамках пользовательских сессий в веб-канале анализируйте данные, которые могут косвенно указывать на удаленное подключение к устройству клиента.
