Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6, российского разработчика технологий для борьбы с киберугрозами, представили исследование новой волны атак финансово мотивированной киберпреступной группы Hive0117 на компании в России и странах СНГ, которые проводятся с начала 2026 года.
Она действует с конца 2021 года и использует бесфайловое вредоносное ПО DarkWatchman. Специализация очень узкая: деятельность нацелена на финансовые отделы организаций из различных отраслей. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую используя их повторно, а их активность характеризуется всплесками, после которых наступает затишье, иногда длящееся несколько месяцев.
Последняя волна началась в январе этого года, только в России адресатами вредоносных рассылок для бухгалтеров стали свыше 3000 компаний. Кроме того, по данным департамента киберразведки F6, атаки затронули и страны СНГ, среди получателей оказались как минимум шесть компаний в Белоруссии из сфер телекома, промышленности и торговли, три в Казахстане (интернет-магазины и предприятие химической промышленности), и один производитель напитков в Узбекистане. Пик рассылок пришёлся на февраль-март, после чего их количество сократилось в десятки раз, а в ряде случаев письма отправлялись от ранее скомпрометированной организации по её контрагентам, что значительно увеличивало шансы преступников на успех.
Схема атак выглядит как классический пример целевого фишинга. Несмотря на свою кажущуюся простоту, он продолжает оставаться крайне эффективным инструментом в силу простоты «тёток-из-бухгалтерии», которая, как известно, хуже воровства. Злоумышленники направляют вредоносные письма под видом обычной деловой переписки, используя такие темы, как «Документы от...», «Счет на оплату», «Накладная» или «Акт сверки».
Вредоносный файл по классике скрывается в исполняемых EXE-файлах или RAR-архивах, а пароли к архивам указаны в тексте письма, что позволяет обходить простые фильтры почтовых сервисов и антивирусы – более продвинутые умеют сканировать и запароленные архивы, но это недавнее изобретение, которое пока внедрено далеко не везде. При открытии архива пользователь запускает скрытый внутри файл, что приводит к установке трояна удалённого доступа DarkWatchman.
Чтобы получить доступ к системам дистанционного банковского обслуживания (ДБО), преступники дополнительно устанавливают кейлоггер, который позволяет перехватывать данные с клавиатуры и из буфера обмена, а также проверять наличие криптографического токена в USB-разъеме. Как только бухгалтер на зараженном компьютере вставляет токен, необходимый для аутентификации в кабинете ДБО юридического лица, злоумышленники доустанавливают средство удаленного администрирования, получая полный контроль над экраном и доступ к сохраненным паролям и активным сессиям, при этом бухгалтер может не замечать их активности.
В 2026 году группировка Hive0117 применила новую тактику для кражи денег, которая демонстрирует высокий уровень адаптации к современным системам безопасности. Поскольку продвинутые антифрод-решения банков эффективно блокируют подозрительные переводы, анализируя множество параметров, злоумышленники начали оформлять платежи по реестрам, формально выглядящим как перечисление зарплаты, но с указанием банковских счетов людей-дропов. Такая схема позволяет обходить антифрод-системы и выводить со счетов компаний значительные суммы.
По оценкам F6, с начала 2026 года около 400 атак группировки Hive0117 на российские компании оказались успешными, а средняя сумма ущерба от каждой из этих атак в марте-апреле выросла с 3 до 10 миллионов рублей.
Эта динамика коррелирует с общемировыми тенденциями: согласно данным исследования Coalition’s 2025 Cyber Claims Report, ущерб от атак, связанных с корпоративной электронной почтой (BEC), в 2024 году выросла на 23%, а средний убыток от одного инцидента с мошенническим переводом средств достиг 106 000 долларов, то есть, примерно как у нас.
Ещё одно глобальное исследование Barracuda за 2025 год показало, что 78% организаций по всему миру столкнулись с дырами в безопасности электронной почты, а средняя стоимость восстановления после каждой из атак составила около 217 000 долларов.
Однако Hive0117 эксплуатирует именно российскую специфику. В отечественной практике бухгалтерского учета широко распространено использование криптографических USB-токенов для аутентификации в системах ДБО, что делает их критической точкой атаки. Кроме того, сама по себе схема с использованием зарплатных реестров для вывода средств играет на доверии к внутрикорпоративным процессам и сложности контроля за большими объемами однотипных платежей, что особенно актуально для крупных российских компаний.
Что характерно, подобные инциденты в России иногда имеют и внутреннюю природу: например, в Ингушетии главный бухгалтер государственного учреждения более трёх лет выводил средства через фиктивные договоры и поддельные распоряжения, нанеся ущерб на сумму более 100 миллионов рублей. Тем не менее, именно внешние атаки с использованием методов социальной инженерии и сложного вредоносного ПО остаются главной угрозой. Как отмечает Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6, эволюция угроз финансового мошенничества происходит стремительно, а главная задача – заблокировать мошенника на ранних этапах атаки, не давая ему добраться до счетов и персональных данных клиентов. В целом, успех таких атак объясняется не только техническим арсеналом злоумышленников, но и человеческим фактором – невнимательностью или недостаточной осведомленностью сотрудников, что позволяет преступникам использовать легитимные бизнес-процессы для совершения хищений.