- 27,637
- 46
- 8 Ноя 2022
Хакеры используют фальшивые зарплатные реестры, чтобы выводить деньги со счетов компаний.
Бухгалтеры компаний снова оказались в центре финансовых кибератак: группировка Hive0117 заражает рабочие компьютеры через письма с вложениями под видом счетов, актов и накладных, ждёт подключения криптографического токена и получает доступ к системам дистанционного банковского обслуживания. С начала 2026 года группировка совершила около 400 успешных атак на российские компании, а средний ущерб в марте и апреле вырос с 3 млн до 10 млн рублей, сообщает F6.
Специалисты F6 зафиксировали новую волну атак Hive0117 на юридические лица. Группировка действует с конца 2021 года и раньше чаще била по российским организациям, но теперь расширила географию. Помимо России, в рассылках заметили получателей из Беларуси, Казахстана и Узбекистана. В Беларуси под удар попали как минимум шесть компаний из телекоммуникационной отрасли, промышленности, торговли и других сфер, в Казахстане - три организации, включая интернет-магазины и предприятие химической промышленности, в Узбекистане - производитель напитков.
В 2026 году злоумышленники отправляли письма бухгалтерам более чем 3000 российских компаний из разных отраслей. Пик рассылок пришёлся на февраль и март, затем активность сократилась в десятки раз. Письма маскировали под привычную деловую переписку: счета на оплату, акты сверки, накладные, уведомления о хранении документов и пересланные сообщения с вложениями.
Вредоносный файл прятали в RAR-архиве, а пароль от архива указывали прямо в письме. Приём помогает обходить часть почтовых фильтров и антивирусных проверок, потому что защитным системам сложнее анализировать запароленное вложение. После запуска файла на компьютер попадал DarkWatchman, бесфайловый троян удалённого доступа, который закреплялся в системе и загружал дополнительные модули.
Следующим этапом преступники устанавливали кейлоггер. Модуль перехватывал данные, введённые с клавиатуры, следил за буфером обмена и проверял, подключён ли к компьютеру криптографический токен. Для атакующих такой токен служит ключевым сигналом: бухгалтер обычно использует устройство подписи для входа в кабинет дистанционного банковского обслуживания и проведения платежей от имени компании.
Когда кейлоггер обнаруживал токен в USB-разъёме, злоумышленники переходили к активной фазе атаки. На зараженный компьютер устанавливали средство удалённого управления или троян с функцией скрытого виртуального рабочего стола. С помощью такого доступа преступники могли открыть браузер, работать с банковским кабинетом и проводить операции с компьютера жертвы, не привлекая внимания бухгалтера.
Если компания использует подтверждение через СМС, преступники могут действовать по другому сценарию: убеждать пользователя установить Android-приложение для перехвата кодов двухфакторной защиты. Такой вариант позволяет получить коды подтверждения и продолжить атаку без криптографического токена.
F6 отдельно указывает на новую схему вывода денег. Преступники оформляли платежи по реестру, внешне похожие на перечисление зарплаты. В реестр попадали счета дропов, через которые затем выводили похищенные средства. Если банк не проверяет операции с помощью сессионного и транзакционного антифрода, злоумышленники получают шанс вывести крупную сумму за одну атаку.
DarkWatchman собирал сведения о системе, версии Windows, правах пользователя, домене, установленном антивирусе и подключённых смарт-картах. Троян также мог менять управляющий сервер, загружать файлы, запускать команды, обновляться и удалять следы работы. Набор функций позволяет группе подстраивать атаку под конкретную компанию и продолжать управление зараженным устройством даже при потере части инфраструктуры.
Для бухгалтеров и финансовых сотрудников главный риск связан не с редкой технической уязвимостью, а с обычным письмом, которое выглядит как рабочий документ. F6 рекомендует не открывать вложения от неизвестных отправителей без проверки, не запускать файлы с расширениями .EXE, .LNK и двойными расширениями вроде .PDF.EXE, не устанавливать приложения по ссылкам из писем, СМС, мессенджеров и QR-кодов, а при подозрении на заражение сразу отключать компьютер от сети.
Подразделениям информационной безопасности банков специалисты F6 советуют усиливать антифрод в веб-канале, учитывать признаки удалённого подключения, проверять сторонние приложения на устройствах пользователей и рекомендовать клиентам переводить работу с ДБО на изолированные рабочие станции с ограниченным доступом в интернет. Отдельная рекомендация касается токенов: средство электронной подписи не стоит постоянно оставлять в компьютере.
Бухгалтеры компаний снова оказались в центре финансовых кибератак: группировка Hive0117 заражает рабочие компьютеры через письма с вложениями под видом счетов, актов и накладных, ждёт подключения криптографического токена и получает доступ к системам дистанционного банковского обслуживания. С начала 2026 года группировка совершила около 400 успешных атак на российские компании, а средний ущерб в марте и апреле вырос с 3 млн до 10 млн рублей, сообщает F6.
Специалисты F6 зафиксировали новую волну атак Hive0117 на юридические лица. Группировка действует с конца 2021 года и раньше чаще била по российским организациям, но теперь расширила географию. Помимо России, в рассылках заметили получателей из Беларуси, Казахстана и Узбекистана. В Беларуси под удар попали как минимум шесть компаний из телекоммуникационной отрасли, промышленности, торговли и других сфер, в Казахстане - три организации, включая интернет-магазины и предприятие химической промышленности, в Узбекистане - производитель напитков.
В 2026 году злоумышленники отправляли письма бухгалтерам более чем 3000 российских компаний из разных отраслей. Пик рассылок пришёлся на февраль и март, затем активность сократилась в десятки раз. Письма маскировали под привычную деловую переписку: счета на оплату, акты сверки, накладные, уведомления о хранении документов и пересланные сообщения с вложениями.
Вредоносный файл прятали в RAR-архиве, а пароль от архива указывали прямо в письме. Приём помогает обходить часть почтовых фильтров и антивирусных проверок, потому что защитным системам сложнее анализировать запароленное вложение. После запуска файла на компьютер попадал DarkWatchman, бесфайловый троян удалённого доступа, который закреплялся в системе и загружал дополнительные модули.
Следующим этапом преступники устанавливали кейлоггер. Модуль перехватывал данные, введённые с клавиатуры, следил за буфером обмена и проверял, подключён ли к компьютеру криптографический токен. Для атакующих такой токен служит ключевым сигналом: бухгалтер обычно использует устройство подписи для входа в кабинет дистанционного банковского обслуживания и проведения платежей от имени компании.
Когда кейлоггер обнаруживал токен в USB-разъёме, злоумышленники переходили к активной фазе атаки. На зараженный компьютер устанавливали средство удалённого управления или троян с функцией скрытого виртуального рабочего стола. С помощью такого доступа преступники могли открыть браузер, работать с банковским кабинетом и проводить операции с компьютера жертвы, не привлекая внимания бухгалтера.
Если компания использует подтверждение через СМС, преступники могут действовать по другому сценарию: убеждать пользователя установить Android-приложение для перехвата кодов двухфакторной защиты. Такой вариант позволяет получить коды подтверждения и продолжить атаку без криптографического токена.
F6 отдельно указывает на новую схему вывода денег. Преступники оформляли платежи по реестру, внешне похожие на перечисление зарплаты. В реестр попадали счета дропов, через которые затем выводили похищенные средства. Если банк не проверяет операции с помощью сессионного и транзакционного антифрода, злоумышленники получают шанс вывести крупную сумму за одну атаку.
DarkWatchman собирал сведения о системе, версии Windows, правах пользователя, домене, установленном антивирусе и подключённых смарт-картах. Троян также мог менять управляющий сервер, загружать файлы, запускать команды, обновляться и удалять следы работы. Набор функций позволяет группе подстраивать атаку под конкретную компанию и продолжать управление зараженным устройством даже при потере части инфраструктуры.
Для бухгалтеров и финансовых сотрудников главный риск связан не с редкой технической уязвимостью, а с обычным письмом, которое выглядит как рабочий документ. F6 рекомендует не открывать вложения от неизвестных отправителей без проверки, не запускать файлы с расширениями .EXE, .LNK и двойными расширениями вроде .PDF.EXE, не устанавливать приложения по ссылкам из писем, СМС, мессенджеров и QR-кодов, а при подозрении на заражение сразу отключать компьютер от сети.
Подразделениям информационной безопасности банков специалисты F6 советуют усиливать антифрод в веб-канале, учитывать признаки удалённого подключения, проверять сторонние приложения на устройствах пользователей и рекомендовать клиентам переводить работу с ДБО на изолированные рабочие станции с ограниченным доступом в интернет. Отдельная рекомендация касается токенов: средство электронной подписи не стоит постоянно оставлять в компьютере.
- Источник новости
- www.securitylab.ru
