Cyberkriminelle haben laut einem aktuellen Bericht erfolgreich Millionen von Rubel von russischen Unternehmen gestohlen, indem sie die Computer von Buchhaltern ins Visier nahmen und betrügerische Überweisungen als legitime Gehaltszahlungen maskierten. ### Hive0117s Millionenraub in Rubel Forscher des russischen Cybersicherheitsunternehmens **F6** enthüllten, dass die finanziell motivierte Gruppe **Hive0117** von Februar bis März 2026 eine Reihe von Angriffen durchführte, die speziell auf die Finanzabteilungen von Unternehmen abzielten. Mehr als 3.000 russische Organisationen waren Ziel dieser Kampagne. ### Phishing-E-Mails und Malware-Infektion Die Angreifer initiierten ihre Kampagne, indem sie sorgfältig ausgearbeitete Phishing-E-Mails versendeten, um die Computer von Buchhaltern mit Malware zu infizieren und sich so unbefugten Zugriff auf die Online-Banking-Systeme der Unternehmen zu verschaffen. Der größte bestätigte Diebstahl überstieg 14 Millionen Rubel (ca. 178.000 US-Dollar). Die Phishing-E-Mails waren so gestaltet, dass sie legitim erschienen und oft von kompromittierten Konten stammten, darunter eines, das einem Web- und Mobile-App-Entwickler aus Moskau gehörte. Diese E-Mails enthielten passwortgeschützte Archive, die als routinemäßige Geschäftsdokumente wie Rechnungen und Versandpapiere getarnt waren. ### DarkWatchman RAT Das Öffnen des Archivs und die Ausführung einer versteckten Datei führten zur Infektion des Computers des Opfers mit **DarkWatchman**, einem Remote-Access-Trojaner (RAT). Dieser RAT ermöglichte es den Angreifern, die Kontrolle über die kompromittierten Systeme heimlich aufrechtzuerhalten. **DarkWatchman** ermöglicht die Ausführung von Befehlen aus der Ferne, den Download zusätzlicher bösartiger Tools und die laterale Ausbreitung im Netzwerk des Unternehmens. Diese Malware wird seit mindestens 2021 mit **Hive0117** in Verbindung gebracht und wird üblicherweise über Phishing-Kampagnen verbreitet. ### Ausnutzung von Gehaltsabrechnungsmechanismen Mit der Kontrolle über den Computer eines Buchhalters konnten die Angreifer sich in die Online-Banking-Portale der Unternehmen einloggen und Transaktionen direkt vom kompromittierten System aus initiieren, wodurch die Aktivität legitim erschien. Die Hacker nutzten Gehaltsabrechnungsmechanismen aus, indem sie Zahlungsaufträge erstellten, die mit Bankkonten verknüpft waren, die scheinbar Mitarbeitern gehörten, aber tatsächlich von den Angreifern kontrolliert wurden. Wenn diese Überweisungen die Betrugsbekämpfungskontrollen der Banken umgingen, konnten die Kriminellen erhebliche Summen von den Unternehmenskonten abheben. ### Hive0117s Geschichte und Umfang **Hive0117** ist seit Ende 2021 aktiv und zielt hauptsächlich auf Finanzabteilungen in verschiedenen Branchen ab. Während sich die jüngsten Angriffe auf russische Organisationen konzentrierten, richtete sich frühere Aktivität laut **F6** auch gegen Nutzer in Litauen, Estland, Weißrussland und Kasachstan. Forscher haben zuvor darauf hingewiesen, dass die Operationen der Gruppe nicht mit dem breiteren Cyberkonflikt zwischen Russland und der Ukraine in Verbindung zu stehen scheinen, und die Herkunft der Angreifer bleibt unbekannt. Diese Kampagne folgt auf frühere Aktivitäten, über die **F6** im letzten Jahr berichtete, bei denen die Gruppe eine modifizierte Version von **DarkWatchman** verwendete, um russische Unternehmen in mehreren Sektoren ins Visier zu nehmen. Im Jahr 2023 beobachteten westliche Forscher, wie **Hive0117** russische Regierungsmitteilungen in Phishing-E-Mails nachahmte, die als Einberufungsbescheide getarnt waren, eine weitere Kampagne, die dieselbe Malware einsetzte.