Хакеры маскируют кражу под зарплату
Представьте: бухгалтер открывает обычное письмо от коллег или контрагентов, вводит пароль из письма, чтобы посмотреть «Акт сверки», а через несколько минут с расчётного счёта компании уходят миллионы. Банк не блокирует перевод — ведь платёж выглядит как стандартное перечисление зарплаты сотрудникам. Именно такую схему в начале 2026 года активно использовала хакерская группа Hive0117 против российских организаций.
Специалисты компании F6, работающей в сфере кибербезопасности, зафиксировали волну целевых атак на бухгалтеров более чем трёх тысяч российских компаний. Период активности пришёлся на февраль и март 2026 года. Злоумышленники не взламывали банки напрямую — они атаковали самых уязвимых участников финансовой цепочки: людей, которые работают с банк-клиентами каждый день.
Техника оказалась до циничного простой и одновременно изощрённой. Хакеры рассылали электронные письма с темами, которые редко оставляют равнодушным специалиста по финансам: «Акт сверки», «Счёт на оплату», «Уведомление об окончании срока бесплатного хранения». Внутри каждого письма была ссылка или вложение — RAR-архив, защищённый паролем. Сам пароль честно указывался прямо в теле письма, чтобы у жертвы не возникло лишних подозрений.
Внутри архива прятался троян удалённого доступа под названием DarkWatchman. Стоило бухгалтеру открыть заражённый файл, вредоносная программа тихо устанавливалась на рабочий компьютер и открывала злоумышленникам полный доступ к системам дистанционного банковского обслуживания (ДБО). Дальше хакеры могли делать с деньгами компании почти всё, что угодно, — но они выбрали самую хитрую тактику.
В марте, по наблюдениям F6, частота и масштаб рассылок резко выросли. Часть писем приходила с реально существующих, но заранее скомпрометированных почтовых ящиков. Например, среди отправителей оказался московский разработчик сайтов и мобильных приложений — его учётную запись взломали и использовали для рассылки вредоносных сообщений его же клиентам. К счастью, эти атаки удалось заблокировать.
Кто же стоит за атаками? Группа Hive0117 известна специалистам по безопасности с конца 2021 года. Изначально география их целей включала не только Россию, но и Литву, Эстонию, Беларусь и Казахстан. Однако нынешняя кампания оказалась нацелена преимущественно на российский бизнес.
Главная «изюминка» новой схемы — не в способе проникновения, а в том, как преступники выводят украденные деньги. Получив доступ к банковским системам через компьютер бухгалтера, они не переводили средства одним крупным платежом (это почти наверняка вызвало бы блокировку со стороны антифрод-систем). Вместо этого хакеры оформляли так называемые зарплатные реестры — документы, которые компании подают в банк для массового перечисления зарплаты сотрудникам.
Формально такие платежи выглядят абсолютно легально: банк видит привычный паттерн — компания платит зарплату. Никто не подозревает, что в реестре вместо реальных имён сотрудников указаны счета дропов — подставных лиц, которые моментально обналичивают деньги или переводят их дальше. Банковские фильтры такие операции пропускают, потому что формальных нарушений нет: реестр подписан легальной электронной подписью, доступ к которой получили хакеры.
По подсчётам аналитиков F6, средний ущерб от успешных атак в конце февраля — начале марта 2026 года составил около 3 миллионов рублей. В некоторых случаях сумма похищенного превышала 14 миллионов рублей. Это серьёзный удар для среднего бизнеса, который может оказаться на грани банкротства после одной такой «зарплатной ведомости».
Что делать? В компании F6 рекомендуют банкам не перекладывать ответственность на клиентов, а усилить защиту юридических лиц на стороне самого клиента (например, предлагать более надёжные способы подтверждения операций). Кроме того, банкам следует внедрить обязательный контроль зарплатных реестров на стороне транзакционных антифрод-систем. Проще говоря, банк должен проверять не только формальную подпись, но и реальную историю получателей: появлялись ли эти счета в других подозрительных операциях, не связаны ли они с дропами, не менялся ли резко паттерн выплат.
Для самих компаний вывод тоже очевиден: никогда нельзя открывать вложения из писем с неожиданными темами, даже если пароль приложен отдельно. А ещё лучше — использовать отдельный, немаршрутизируемый компьютер для работы с банк-клиентом и никогда не заходить с него в почту или интернет. Но главная надежда — на банковскую систему, которая должна научиться отличать настоящую зарплату от виртуальной, даже если документы подписаны «правильно».
