Добавить в корзинуПозвонить
Найти в Дзене
Onlíner

Киберпреступники атаковали белорусских бухгалтеров

С начала 2026 года хакеры нанесли удар более чем по трем тысячам организаций из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты, говорится в отчете компании F6. Статистика получена по результатам анализа атаки киберпреступной группы Hive0117. По данным экспертов, средняя сумма ущерба от успешных атак на компании в СНГ в марте — апреле увеличилась более чем в три раза. Как рассказали в F6, Hive0117, действуя с 2021 года, в своих атаках использует безфайловое вредоносное ПО DarkWatchman. Группировка нацелена на финансовые отделы организаций из различных отраслей, злоумышленники маскируются под реальные компании, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую используя их повторно. Для группировки характерны всплески активности — после массовых рассылок обычно наступает затишье, порой до нескольких месяцев. Специалисты отмечают, что среди получателей рассыл

С начала 2026 года хакеры нанесли удар более чем по трем тысячам организаций из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты, говорится в отчете компании F6. Статистика получена по результатам анализа атаки киберпреступной группы Hive0117.

По данным экспертов, средняя сумма ущерба от успешных атак на компании в СНГ в марте — апреле увеличилась более чем в три раза. Как рассказали в F6, Hive0117, действуя с 2021 года, в своих атаках использует безфайловое вредоносное ПО DarkWatchman. Группировка нацелена на финансовые отделы организаций из различных отраслей, злоумышленники маскируются под реальные компании, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую используя их повторно. Для группировки характерны всплески активности — после массовых рассылок обычно наступает затишье, порой до нескольких месяцев.

Специалисты отмечают, что среди получателей рассылок группы Hive0117 оказались как минимум шесть компаний в Беларуси из сфер телекома, промышленности, торговли и других. Пик рассылок пришелся на февраль — март, после чего их количество сократилось в десятки раз. В некоторых случаях рассылки проводились от ранее скомпрометированной организации по ее контрагентам, что увеличивало шансы преступников на успех.

В рамках применяемой схемы злоумышленники направляли вредоносные письма под видом обычной деловой почты. Могли использоваться такие темы писем, как «Документы от <дата направления письма> », «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате».

Вредоносный файл запаковывали в исполняемые EXE-файлы или в RAR-архивы под видом документов. Пароли к архивам указывали в тексте письма, чтобы скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов. При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна удаленного доступа DarkWatchman.

Чтобы получить доступ к системам дистанционного банковского обслуживания, злоумышленники дополнительно устанавливали кейлоггер, который позволяет перехватывать данные с клавиатуры и из буфера обмена, а также проверять наличие криптографического токена, вставленного в USB-разъем компьютера. Наличие токена, в свою очередь, обязательно для аутентификации в кабинете дистанционного банковского обслуживания юридического лица.

Как только бухгалтер на зараженном компьютере вставляет криптографический токен в USB-разъем устройства, злоумышленники доустанавливают еще одну программу. Как правило, это средство удаленного администрирования или троян удаленного доступа. В итоге злоумышленникам становятся доступны сохраненные в браузере пароли, активные сессии и другие пользовательские данные. Бухгалтер, находясь за компьютером, может не замечать активности злоумышленников, которая происходит в это же время.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро