Российские компании стали целью новой волны атак с применением вируса DarkWatchman под управлением группировки Hive0117

Незадолго до первых майских выходных российский цифровой периметр вновь оказался под угрозой. 29 апреля кибергруппировка Hive0117 запустила широкомасштабную рассылку с вредоносным кодом, ориентированную на компании из разных отраслей. В числе атакованных оказались предприятия, работающие в сфере СМИ, туризма, финансов, страхования, промышленности, энергетики, телекоммуникаций, биотехнологий и торговли. Об этом сообщили в пресс-службе компании F6.

Как уточнили эксперты в области цифровой защиты, Hive0117 — это организованная структура, действующая по финансовым мотивам и проявляющая активность с начала 2022 года. Представители компании F6 отметили, что злоумышленники не только используют вирус DarkWatchman, но и постоянно применяют фишинговые методы, подделывая сообщения от реальных организаций. По их словам, участники этой группировки не просто создают новые домены, но и используют ранее задействованные адреса, что указывает на продуманную тактику и техническую подготовку. Подобные действия уже фиксировались не только на территории России, но и в Белоруссии, Литве, Эстонии и Казахстане.

Последняя кампания, по данным аналитиков F6 Threat Intelligence, отличалась размахом и маскировкой. Сотрудники компании сообщили, что злоумышленники разослали более 550 писем с одинаковой темой: «Документы от 29.04.2025». Адрес отправителя при этом был визуально схож с корпоративным, что повышало шансы на успешное заражение. Эти сообщения были перехвачены системой F6 Managed XDR, предназначенной для отслеживания и нейтрализации подобных угроз.

Во вложениях к письмам находились архивы, запароленные и названные по шаблону: «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar», «Документация от 29.04.2025.rar». При открытии таких файлов запускалась цепочка событий, в результате которой на устройство жертвы устанавливался изменённый вариант вируса DarkWatchman. Как подчёркивают в F6, данное вредоносное ПО особенно опасно своей скрытностью — оно способно обходить защиту стандартных антивирусов и действовать незаметно в течение продолжительного времени.

Факт атаки, произошедшей в канун длинных праздников, специалисты по кибербезопасности связывают с расчётом преступников на снижение уровня внимания и замедленную реакцию со стороны ИТ-служб в праздничные дни. Представители F6 подчёркивают, что такие временные отрезки традиционно рассматриваются киберпреступными структурами как удачный момент для реализации атак, направленных на шпионаж, кражу данных или внедрение вредоносных модулей в корпоративные системы.