Киберпреступная группа Hive0117 организовала масштабную кампанию, жертвами которой с начала 2026 года стали более трех тысяч организаций из различных секторов экономики.
Об этом сообщили в компании-разработчике решений для кибербезопасности F6.
Злоумышленники сумели превратить повседневную рабочую переписку в эффективный канал для кражи корпоративных средств, направляя основной удар по сотрудникам бухгалтерий.
По данным аналитиков, в результате почти четырех сотен успешных атак средняя сумма ущерба для российских предприятий выросла до десяти миллионов рублей. Преступники упражняются в изобретательности, уводя деньги через счета дропов, что затрудняет отслеживание финальных получателей похищенных сумм.
Зарплатные ловушки и вирусы в архивах
Ключевая особенность текущей волны заключается в том, что хищения маскируются под обыденные финансовые операции. Вредоносная программа внедряется в компьютер жертвы, после чего киберпреступники получают полный доступ к сохраненным в браузере паролям, активным сеансам и иным критически важным данным.
"С помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты", — поясняют специалисты F6 механику атаки.
Таким образом, в то время как бухгалтер спокойно работает за своим терминалом, на экране могут параллельно формироваться платежные поручения, инициированные злоумышленниками удаленно. Использование троянов удаленного доступа позволяет действовать скрытно, не вызывая подозрений у штатных сотрудников компании.
Фальшивые партнеры и сезонная активность
Для придания письмам легитимности хакеры регистрируют инфраструктуру, копирующую реальные организации, и зачастую повторно используют одни и те же управляющие домены. Вредоносный файл прячется в знакомые каждому бухгалтеру форматы: «Документы», «Счет на оплату» или «Акт сверки». Пароль к зараженному архиву, как правило, любезно указывается прямо в теле сообщения, что помогает вирусу беспрепятственно миновать фильтры антивирусов и почтовых сервисов.
"Для группировки характерны всплески активности — после массовых рассылок обычно наступает затишье, порой до нескольких месяцев. Пик рассылок пришелся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз", — отметили в компании.
Особую опасность представляют случаи, когда рассылка вредоносных писем велась от лица ранее взломанной организации по всей ее клиентской базе. Эксперты настоятельно рекомендуют работникам финансовых служб без тщательной проверки не открывать файлы от неизвестных отправителей и немедленно отключать компьютер от сети при малейшем подозрении на вирусную активность.
