3000 компаний за месяц: почему российские бухгалтеры стали главной целью киберпреступников в 2026 году
Февраль и март 2026 года выдались горячими для российских финансистов. Специалисты из F6 (департамент киберразведки Threat Intelligence) засекли сразу несколько массовых рассылок. Цель — бухгалтеры. Контент — вредоносные письма. Внутри — троян удаленного доступа. Задача злоумышленников проста и цинична: проникнуть в корпоративную сеть и опустошить счета.
Жертвами стали свыше трех тысяч организаций. География широкая. В списке — промышленность, ритейл, энергетика, медиа, туризм, финансы, страховые компании, телеком, транспорт и даже биотехнологии.
Знакомая маскировка: «Акт сверки» и «Счет на оплату»
Хакеры не стали изобретать велосипед. Они выбрали проверенные темы для писем: «Акт сверки», «Счет на оплату», «Уведомление об окончании срока бесплатного хранения». Бухгалтер видит привычные формулировки — и открывает вложение. Внутри архива — скрытый файл. Один клик — и троян DarkWatchman уже на компьютере.
Кстати, это не случайный софт. DarkWatchman RAT — профессиональный инструмент группы Hive0117. Он дает хакерам скрытый доступ к машине жертвы.
Что умеет этот троян:
подтягивать дополнительные вредоносные программы;
следить за действиями пользователя (шпионаж в реальном времени);
самостоятельно расползаться по офисной сети.
После заражения киберпреступники получают доступ к системам дистанционного банковского обслуживания. Тем самым, через которые бухгалтеры ежедневно проводят платежи.
Деньги уходят через зарплатные реестры
Тут начинается самое интересное. Злоумышленники применили новую уловку. Они не стали дергать счета как попало. Вместо этого через взломанный ДБО оформили платежи по реестру.
Со стороны — обычное перечисление зарплаты. Ничего подозрительного. Но в реестре вместо сотрудников значились счета дропов. Если антифрод-система не среагировала, деньги списывались. И возвращать их уже некому.
Цифры говорят сами за себя
Аналитики F6 подсчитали убытки. Средняя сумма ущерба от успешной атаки в конце февраля — начале марта составила около 3 млн рублей на компанию. А в одном из случаев украли больше 14 млн рублей.
Дмитрий Ермаков (руководитель департамента Fraud Protection в F6) отметил: банкам пора усилить защиту юридических лиц на стороне клиента. И добавил, что обязательный контроль зарплатных реестров на уровне транзакционных антифрод-систем давно назрел.