06.04.2026 11:30
Атака Hive0117: как мошенники подменяют зарплатные реестры
💸 «Начислили зарплату» — как бухгалтерию используют для вывода миллионов
Аналитики F6 опубликовали разбор масштабной атаки на российские компании. За февраль–март под удар попали более 3000 организаций, а максимальный ущерб в одном эпизоде превысил 14 млн рублей.
За атаками стоит группа Hive0117 — они работают системно и целятся именно в финансовые отделы.
😐 Сценарий выстроен максимально «жизненно», чтобы не вызвать подозрений.
Сначала бухгалтеру приходит письмо, которое выглядит как обычная рабочая переписка:
— «Акт сверки»
— «Счёт на оплату»
— «Уведомление об окончании хранения»
📩 Внутри — архив (RAR), якобы с документами. Человек открывает его — и в этот момент запускает вредоносный файл, замаскированный под привычный документ.
🦠 На компьютер устанавливается DarkWatchman — это так называемое «бесфайловое» вредоносное ПО. Оно работает тихо, не оставляя явных следов и не вызывая срабатывания стандартной защиты.
😐 Дальше начинается самое опасное.
Злоумышленники получают доступ к системе и наблюдают:
— как проходят платежи
— как формируются реестры
— какие шаблоны используются
Они не спешат. Сначала «вживаются» в процессы.
📊 А затем аккуратно встраиваются в них.
В какой-то момент формируется платёжный реестр — как будто на выплату зарплаты сотрудникам.
Всё выглядит абсолютно легитимно:
— привычный формат
— корректные поля
— обычные суммы
💸 Только реквизиты — подставные. Деньги уходят на счета дропов, и если операция не ловится антифродом, средства просто исчезают.
😐 Внешне — обычный рабочий день бухгалтерии.
По факту — тихий вывод денег.
🧠 И здесь ключевой момент, который часто недооценивают.
📌 Такие атаки не начинаются с письма а с подготовки.
— ищут сотрудников бухгалтерии
— собирают почты
— изучают структуру компании
— смотрят, какие документы в ходу
И всё это — без взлома.
😐 Через открытые источники: соцсети, сайты, вакансии, публикации. Это и есть OSINT — разведка по открытым данным. Мы сами рассказываем о себе достаточно,
чтобы под нас собрали точечную атаку.
🎧 Как именно работает профайлинг, как информацию о вас «собирают по кусочкам» и как этому противостоять — я подробно разбираю в рубрике «Цифровой след» на Вести ФМ.
😐 Выходит по понедельникам, средам и пятницам.
Послушать можно бесплатно на платформе Смотрим: https://smotrim.ru/audio/5000975
🙌 Берегите свои данные и здравый смысл!
📲 Подписывайтесь на канал «Без обмана» и будьте на шаг впереди мошенников: @elkabezobmana
Аналитики F6 опубликовали разбор масштабной атаки на российские компании. За февраль–март под удар попали более 3000 организаций, а максимальный ущерб в одном эпизоде превысил 14 млн рублей.
За атаками стоит группа Hive0117 — они работают системно и целятся именно в финансовые отделы.
😐 Сценарий выстроен максимально «жизненно», чтобы не вызвать подозрений.
Сначала бухгалтеру приходит письмо, которое выглядит как обычная рабочая переписка:
— «Акт сверки»
— «Счёт на оплату»
— «Уведомление об окончании хранения»
📩 Внутри — архив (RAR), якобы с документами. Человек открывает его — и в этот момент запускает вредоносный файл, замаскированный под привычный документ.
🦠 На компьютер устанавливается DarkWatchman — это так называемое «бесфайловое» вредоносное ПО. Оно работает тихо, не оставляя явных следов и не вызывая срабатывания стандартной защиты.
😐 Дальше начинается самое опасное.
Злоумышленники получают доступ к системе и наблюдают:
— как проходят платежи
— как формируются реестры
— какие шаблоны используются
Они не спешат. Сначала «вживаются» в процессы.
📊 А затем аккуратно встраиваются в них.
В какой-то момент формируется платёжный реестр — как будто на выплату зарплаты сотрудникам.
Всё выглядит абсолютно легитимно:
— привычный формат
— корректные поля
— обычные суммы
💸 Только реквизиты — подставные. Деньги уходят на счета дропов, и если операция не ловится антифродом, средства просто исчезают.
😐 Внешне — обычный рабочий день бухгалтерии.
По факту — тихий вывод денег.
🧠 И здесь ключевой момент, который часто недооценивают.
📌 Такие атаки не начинаются с письма а с подготовки.
— ищут сотрудников бухгалтерии
— собирают почты
— изучают структуру компании
— смотрят, какие документы в ходу
И всё это — без взлома.
😐 Через открытые источники: соцсети, сайты, вакансии, публикации. Это и есть OSINT — разведка по открытым данным. Мы сами рассказываем о себе достаточно,
чтобы под нас собрали точечную атаку.
🎧 Как именно работает профайлинг, как информацию о вас «собирают по кусочкам» и как этому противостоять — я подробно разбираю в рубрике «Цифровой след» на Вести ФМ.
😐 Выходит по понедельникам, средам и пятницам.
Послушать можно бесплатно на платформе Смотрим: https://smotrim.ru/audio/5000975
🙌 Берегите свои данные и здравый смысл!
📲 Подписывайтесь на канал «Без обмана» и будьте на шаг впереди мошенников: @elkabezobmana