Кибергруппировка Hive0117 атакует бухгалтеров: как мошенники выводят миллионы через вредоносные письма
Мошенники активно используют вредоносные письма для заражения компьютеров бухгалтеров, чтобы затем выводить деньги на счета подставных лиц. Как сообщили РИА Новости в компании-разработчике F6, киберпреступная группировка Hive0117, действующая с конца 2021 года, за первую половину 2026 года атаковала свыше трех тысяч организаций в различных отраслях. Жертвами становятся бухгалтеры, которые, сами того не замечая, открывают доступ к корпоративным финансам.
Киберпреступная группировка Hive0117, действующая с конца 2021 года, в 2026 году активизировала атаки на российские компании. Как рассказали в компании-разработчике F6, с начала года злоумышленники атаковали более трех тысяч организаций из разных отраслей. Основной метод — вредоносные письма, маскирующиеся под обычную деловую переписку.
Мошенники заражают компьютеры бухгалтеров и выводят деньги на счета дропов — подставных лиц, которые используются как транзитные для вывода похищенных средств. Нередко переводы оформляются под видом зарплаты, что позволяет оставаться незамеченными как можно дольше.
Как работают фишинговые письма
Злоумышленники тщательно готовят атаки. Они регистрируют инфраструктуру для рассылок и управляющих доменов, часто используя одни и те же домены повторно. Письма маскируются под реальные организации, а темы выглядят безобидно: «Документы», «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате». Внутри письма — архив с паролем, который указывается в самом тексте. Так мошенники пытаются обойти фильтры почтовых сервисов и антивирусы.
При открытии архива пользователь запускает скрытый файл, который устанавливает троян удаленного доступа (RAT). После этого злоумышленники получают доступ к сохраненным паролям в браузере, активным сессиям и другим данным. Бухгалтер за своим компьютером может не замечать активности, происходящей в фоне.
Масштаб ущерба и тактика группы
По данным F6, около 400 кибератак на российские компании оказались успешными. Средняя сумма ущерба за одну атаку достигла 10 миллионов рублей. Характерной особенностью группировки Hive0117 являются всплески активности: после массовых рассылок следует затишье, иногда длящееся несколько месяцев. Пик рассылок пришелся на февраль-март 2026 года, после чего их количество сократилось в десятки раз.
В некоторых случаях мошенники использовали уже скомпрометированные организации для рассылок по их контрагентам. Это повышало доверие к письмам и увеличивало шансы на успешное заражение.
Аналитики F6 рекомендуют бухгалтерам и финансовым специалистам не открывать файлы от неизвестных отправителей без предварительной проверки. При подозрении на вредоносную активность на компьютере необходимо немедленно изолировать устройство от внешней сети.
Похожие статьи
Где смотреть финал Кубка Англии: «Челси» против «Ман Сити» – прямая трансляция из любой точки мира
Две самые успешные команды Кубка Англии — «Манчестер Сити» и «Челси» — встретятся на «Уэмбли» в 145-м розыгрыше турнира. Рассказываем, как смотреть матч онлайн бесплатно.
Финал Кубка Англии: где и во сколько смотреть «Челси» — «Манчестер Сити»
В субботу, 16 мая, «Челси» и «Манчестер Сити» встретятся в финале Кубка Англии. Рассказываем, во сколько начало и где посмотреть матч бесплатно, даже если у вас нет кабельного ТВ.
Ремонт линии «Днепровская» для ЗАЭС может начаться в конце мая — «Росатом»
Глава «Росатома» Алексей Лихачев заявил, что ремонт линии электропередачи «Днепровская», от которой зависит стабильность Запорожской АЭС, может начаться в конце мая. Переговоры с МАГАТЭ о временном режиме тишины продолжаются.
Комментарии
0 всего