Газета
MAX
Бизнес
Экономика
Финансы
Инвестиции
Технологии
Медиа
Недвижимость
Политика
Общество
Менеджмент
Стиль жизни
Интервью
Мнения
Фотогалереи
ВЕДЫ
Правила торговли
Идеи управления
Город
Ведомости&
Аналитика
Капитал
Страна
Промышленность
Инновации и технологии
Техуспех
Здоровье
Спорт
Конференции
Справочник компаний
Справочник персон
Туризм
Право
Наука
Как потратить
Устойчивое развитие
Форум
Премия Импульс
Ведомости Северо-Запад
Ведомости Северо-Запад Стиль жизни
Ведомости Юг
6 апреля 2026 / Справочник компаний / F6

F6: группа Hive0117 взламывает компьютеры бухгалтеров и похищает деньги под видом зарплаты

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новую тактику финансово мотивированных злоумышленников, атакующих российские компании. Киберпреступная группа Hive0117 в ходе целевых атак в феврале-марте 2026 года заражала компьютеры бухгалтеров с использованием вредоносных писем, получала доступ к системам дистанционного банковского обслуживания и выводила деньги на счета дропов, в том числе под видом перечисления зарплаты. Вредоносные письма были отправлены в адрес более чем 3000 российских организаций. Средняя сумма ущерба компаний от успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.

«Открой меня»

В феврале-марте 2026 года система защиты корпоративной почты F6 Business Email Protection (F6 BEP) обнаружила несколько волн масштабных рассылок вредоносных писем, которые специалисты департамента киберразведки (Threat Intelligence) компании F6 связали с киберпреступной группой Hive0117. Злоумышленники направили письма в адрес более 3000 российских компаний. Вредоносные рассылки клиентам F6 были успешно заблокированы.

Hive0117 — финансово мотивированная группировка, действующая с конца 2021 года. Группа примечательна использованием бесфайлового вредоносного ПО DarkWatchman. Нацелена на финансовые отделы организаций из различных отраслей. Помимо России, среди целей были замечены пользователи из Литвы, Эстонии, Беларуси и Казахстана.

В новой волне атак вредоносные письма отправляли с предположительно скомпрометированных почтовых ящиков, один из которых принадлежит московскому разработчику сайтов и мобильных приложений. Во всех случаях в письмах с темами «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.

DarkWatchman RAT — троян удаленного доступа. Используется группой Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. Распространяется в основном через фишинговые письма, которые содержат защищённые паролем архивы.

Анализ содержимого писем показал, что целевой аудиторией злоумышленников были специалисты финансовых департаментов. Вредоносный файл скрывался в RAR-архивах под видом счетов на оплату, актов сверок, накладных. Пароли к этим архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов.

При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платёжные операции.

Доверительный платёж

Особенность атак на бухгалтеров образца 2026 года – в новой тактике, которую злоумышленники применяют для кражи денег со счетов компаний.

Продвинутые антифрод-решения, которые банки используют для защиты клиентов – физических лиц позволяют за считанные доли секунды проанализировать каждую платёжную операцию по множеству параметров и показателей, начиная с устройства пользователя и установленных на нём приложений до контекста транзакции и рисковых признаков. Это позволяет заблокировать подозрительные переводы.

Для вывода денег со счетов организаций киберпреступники использовали новую уловку. Используя удалённый доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платёжные операции не проходили через антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы. Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 подсчитали: средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля – начале марта 2026 года составила около 3 млн руб., а максимальная сумма похищенного превысила 14 млн руб.

«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне транзакционной антифрод системы», – говорит Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.

Рекомендации специалистов F6 для подразделений информационной безопасности банков

· Усилить защиту клиентов средствами сессионного и транзакционного антифрод-решения.

· Систематически напоминать клиентам об опасности фишинговых рассылок.

· Рекомендовать клиентам использовать изолированные рабочие станции для систем ДБО с ограниченным доступом в интернет.

· Рекомендовать клиентам не оставлять средство подписи (токен) в компьютере.

Контакт пресс-службы 
e-mail: pr@f6.ru
Оригинал пресс-релиза

Другие пресс-релизы