Компания F6, российский разработчик технологий для борьбы с киберугрозами, проанализировала атаки киберпреступной группы Hive0117 на финансовые подразделения компаний в России, Беларуси, Казахстане и Узбекистане. С начала 2026 года злоумышленники атаковали более 3000 организаций из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты. По данным F6, около 400 атак Hive0117 на российские компании оказались успешными, средняя сумма ущерба увеличилась до 10 млн рублей.
Тысячи адресатов
Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 представили исследование новой волны атак финансово мотивированной киберпреступной группы Hive0117 на компании в России и странах СНГ, которые проводятся с начала 2026 года.
Киберпреступная группировка Hive0117 действует с конца 2021 года. В своих атаках использует бесфайловое вредоносное ПО DarkWatchman. Нацелена на финансовые отделы организаций из различных отраслей. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Для группировки характерны всплески активности — после массовых рассылок обычно наступает затишье, порой до нескольких месяцев.
В январе 2026 года злоумышленники начали проводить вредоносные рассылки на бухгалтеров. Только в России адресатами киберпреступников стали свыше 3000 компаний из разных отраслей. Кроме того, по данным департамента киберразведки (Threat Intelligence) компании F6, среди получателей рассылок
группы Hive0117 оказались организации из СНГ, включая как минимум 6 компаний в Беларуси (из сфер телекома, промышленности, торговли и других), 3 – в Казахстане (интернет-магазины и предприятие химической промышленности) и 1 – в Узбекистане (производитель напитков).
Пик рассылок пришёлся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз. В ряде случаев рассылки вредоносных писем проводились от ранее скомпрометированной организации по её контрагентам, что увеличивало шансы преступников на результативность атаки. Вредоносные рассылки клиентам компании F6 были успешно заблокированы системой защиты корпоративной почты F6 Business Email Protection (F6 BEP).
Стадо троянов
Схема атак выглядела следующим образом. Злоумышленники направляли вредоносные письма под видом обычной деловой почты. Преступники использовали, например, такие темы для писем, как: «Документы от <дата направления письма>», «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате».
Вредоносный файл скрывался в исполняемых EXE-файлах или в RAR-архивах под видом документов. Пароли к архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов. При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна удалённого доступа DarkWatchman.
Чтобы получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платёжные операции, злоумышленники дополнительно устанавливали кейлоггер. Эта вредоносная программа позволяет преступникам не только перехватывать данные с клавиатуры и из буфера обмена, но также проверять наличие криптографического токена, вставленного в USB-разъем компьютера. Этот момент особенно важен для злоумышленников, так как наличие токена обязательно для аутентификации в кабинете дистанционного банковского обслуживания юридического лица.
Как только бухгалтер на зараженном компьютере вставляет криптографический токен в USB-разъем устройства, злоумышленники доустанавливают ещё одну программу. Как правило, это средство удаленного администрирования или троян удалённого доступа, позволяющий управлять экраном зараженного устройства. В итоге злоумышленникам становятся доступны сохранённые в браузере пароли, активные сессии и другие пользовательские данные. Бухгалтер, находясь за компьютером, может не замечать активности злоумышленников, которая происходит в это же время.
Призрачная ведомость
В 2026 году группировка Hive0117 применила новую тактику для кражи денег со счетов компаний.
Продвинутые антифрод-решения, которые банки используют для защиты клиентов – физических лиц позволяют за считанные доли секунды проанализировать каждую платёжную операцию по множеству параметров и показателей, начиная с устройства пользователя и установленных на нём приложений до контекста транзакции и рисковых признаков. Это позволяет заблокировать подозрительные переводы.
Используя удалённый доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, злоумышленники из Hive0117 оформляют платежи для зачисления на банковские счета по реестру. Формально это выглядит как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Если такие платёжные операции не проходят через антифрод-системы, злоумышленники получают возможность вывести со счетов компаний значительные суммы.
По оценкам F6, с начала 2026 года около 400 атак группировки Hive0117 на российские компании оказались успешными. Средняя сумма ущерба от этих атак в марте-апреле выросла с 3 млн до 10 млн рублей.
«Эволюция угроз финансового мошенничества происходит стремительно. Атаки как на обычных пользователей, так и на компании усложняются, злоумышленники постоянно используют новые уловки и инструменты. Вот почему главная задача – заблокировать мошенника на ранних этапах атаки. Не дать ему добраться до счёта клиента, его персональных данных, банковской тайны. Соответственно, вендор должен предоставить банку качественное решение, которое может отражать все типы современных атак на каждом этапе, не допуская финансовых и иных потерь», – говорит Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.
Рекомендации F6 для бухгалтеров и специалистов финансовых подразделений
Не открывайте без проверки файлы, полученные от неизвестных отправителей.
При подозрении на наличие вредоносной активности на ПК изолируйте устройство от внешней сети.
Рекомендации F6 для подразделений информационной безопасности банков
Усилить защиту клиентов средствами сессионного и транзакционного антифрод-решения.
Систематически напоминать клиентам об опасности фишинговых рассылок и загрузке файлов с недоверенных веб-ресурсов.
Рекомендовать клиентам использовать изолированные рабочие станции для систем ДБО с ограниченным доступом в интернет.
Рекомендовать клиентам не оставлять средство подписи (токен) в компьютере.
Реализовать на устройстве пользователя дополнительные меры защиты по выявлению сторонних вредоносных приложений.
При реализации двухфакторной авторизации через СМС учитывать установленные приложения для чтения СМС на устройстве пользователя.
В рамках пользовательских сессий в веб-канале учитывать данные, косвенно свидетельствующие об удаленном подключении к устройству пользователя.