Более 3000 российских компаний получили вредоносные письма от группы Hive0117
В феврале-марте 2026 года киберпреступная группа Hive0117 в ходе целевых атак заражала компьютеры бухгалтеров российских компаний с использованием вредоносных писем, получала доступ к системам дистанционного банковского обслуживания и выводила деньги на счета дропов, в том числе под видом перечисления зарплаты. Как сообщили SecPost в компании F6, вредоносные письма были отправлены в адрес более чем 3000 российских организаций.
Злоумышленники проводили рассылки, ориентированные на бухгалтеров, используя предположительно скомпрометированные почтовые ящики. В письмах с темами «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения» доставлялось вредоносное ПО DarkWatchman. Вредоносный файл скрывался в RAR-архивах под видом счетов на оплату, актов сверок, накладных. Пароли к архивам указывались в тексте письма.
При открытии архива пользователь запускал скрытый файл, что приводило к установке трояна удалённого доступа DarkWatchman. После этого злоумышленники получали доступ к системам ДБО.
Особенностью атак, как отмечается в сообщении, стала новая тактика вывода денег. Используя удалённый доступ к системам ДБО через взломанные компьютеры бухгалтеров, злоумышленники оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов.
Согласно данным компании F6, средняя сумма ущерба компаний от успешных атак при использовании этой схемы в конце февраля – начале марта 2026 года составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.
Помимо этого, в сообщении указывается, что группа Hive0117 действует с конца 2021 года, использует бесфайловое ПО DarkWatchman и нацелена на финансовые отделы организаций. Помимо России, среди целей были замечены пользователи из Литвы, Эстонии, Беларуси и Казахстана.
Читайте также
