Hive0117 рассылала бухгалтерам письма с RAR-архивом и паролем прямо в тексте — чтобы проехать мимо антивирусов. Внутри — DarkWatchman RAT. Дальше злоумышленники через ДБО проводили платежи по зарплатному реестру, где вместо сотрудников стояли счета дропов. Антифрод видел обычную зарплатную операцию и пропускал.Более 3000 компаний получили письма. Средний ущерб при успешной атаке — около 3 млн рублей, максимальный — свыше 14 млн.Изолированная машина для ДБО, фильтрация архивов с паролем и контроль зарплатных реестров на стороне банка — три вещи, которые реально снижают риск.В феврале–марте 2026 года группа Hive0117 провела серию целевых атак на бухгалтеров российских компаний. Схема не новая — фишинговое письмо, троян, доступ к ДБО. Но вот дальше — интересно: деньги выводили под видом зарплаты. Антифрод не срабатывал, потому что операция выглядела как обычный платёж по реестру.Средний ущерб от одной успешной атаки — около 3 млн рублей. Максимум — свыше 14 млн.Статья для ИБ-специалистов и тех, кто отвечает за защиту корпоративных финансов: что именно делала группа, как устроена схема обхода антифрода и что с этим делать. Читать далее