Специалисты F6 зафиксировали новую волну атак группы Hive0117, использующей бесфайловую малварь DarkWatchman, которую распространяют через фишинговые письма с RAR‑архивами, замаскированными под финансовые документы. После установки вредоносного файла злоумышленники крадут данные токенов ДБО, получают удалённый доступ и выводят деньги, оформляя их как выплаты зарплат. С начала года зафиксировано около 400 успешных атак на российские компании, средний ущерб вырос до 10 млн руб. Группировка также поражала организации в Беларуси, Казахстане и Узбекистане.
