Хакеры научились красть деньги так, чтобы банк думал: это просто зарплата

Хакерская группа Hive0117 атаковала бухгалтеров более 3000 российских компаний в феврале-марте 2026 года, похищая деньги под видом зарплатных выплат. Об этом сообщила компания F6, специализирующаяся на кибербезопасности.

По данным F6, злоумышленники рассылали письма с темами «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения». В RAR-архивах, защищённых паролем, указанным прямо в письме, скрывался троян удалённого доступа DarkWatchman. После открытия файла вредоносная программа устанавливалась на компьютер и давала злоумышленникам доступ к системам дистанционного банковского обслуживания. В марте частота и масштаб рассылок заметно возросли.

Часть писем отправлялась с предположительно скомпрометированных почтовых ящиков, в том числе принадлежащего московскому разработчику сайтов и мобильных приложений, отмечает F6. Вредоносные рассылки клиентам компании были заблокированы.

Группа Hive0117 действует с конца 2021 года. Помимо России, среди целей группы фиксировались пользователи из Литвы, Эстонии, Беларуси и Казахстана.

Отличительная черта новой схемы, по оценке F6, состоит в способе вывода средств. Получив доступ к банковским системам через компьютеры бухгалтеров, преступники оформляли платежи по реестру, формально неотличимые от зарплатных перечислений. Фактически деньги зачислялись на счета дропов. По подсчётам аналитиков F6, средний ущерб от успешных атак в конце февраля - начале марта 2026 года составил около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.

В компании рекомендуют банкам «усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне транзакционной антифрод-системы».