МОСКВА, 18 июн - РИА Новости. Мошенники заражают компьютеры бухгалтеров с помощью вредоносных писем и выводят деньги на счета подставных лиц, которые киберпреступники используют как транзитные для вывода похищенных денег, рассказали РИА Новости в компании-разработчике F6.
"Киберпреступная группировка Hive0117 действует с конца 2021 года. С начала 2026 года злоумышленники атаковали более 3 тысяч организаций из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты", - говорится в сообщении компании.
Отмечается, что злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. После чего направляют вредоносные письма под видом обычной деловой почты. Преступники используют такие темы для писем, как "Документы", "Счет на оплату", "Накладная", "Акт сверки", "Задолженность по оплате".
Так, вредоносный файл скрывается в привычных для бухгалтеров системах под видом документов. Пароли к архивам обычно указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов. При открытии архива пользователь запускает скрытый внутри файл, который приводит к установке трояна удаленного доступа.
В итоге злоумышленникам становятся доступны сохраненные в браузере пароли, активные сессии и другие пользовательские данные. Бухгалтер, находясь за компьютером, может не замечать активности злоумышленников, которая происходит в это же время.
По данным F6, около 400 кибератак на российские компании оказались успешными, средняя сумма ущерба увеличилась до 10 миллионов рублей.
"Для группировки характерны всплески активности — после массовых рассылок обычно наступает затишье, порой до нескольких месяцев. Пик рассылок пришелся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз. В ряде случаев рассылки вредоносных писем проводились от ранее скомпрометированной организации по ее контрагентам, что увеличивало шансы преступников на результативность атаки", - пояснили в компании.
Аналитики F6 рекомендуют бухгалтерам и специалистам финансовых подразделений не открывать без проверки файлы, полученные от неизвестных отправителей, и при подозрении на наличие вредоносной активности на ПК изолировать устройство от внешней сети.
