MalwareHackerangriffeCyberkriminalität

Hive0117: Cyberkriminelle zielen auf Buchhalter ab – Millionen aus russischen Firmen gestohlen

Hive0117: Cyberkriminelle zielen auf Buchhalter ab – Millionen aus russischen Firmen gestohlen
Zusammenfassung

Eine international tätige Cyberkriminellen-Gruppe hat in einer koordinierten Angriffswelle von Februar bis März 2026 russische Unternehmen ins Visier genommen und Millionen durch Kontenraub erbeutet. Die Gruppe Hive0117 infiltrierte gezielt die Rechner von Buchhaltern und Finanzangestellten mittels Phishing-Mails, um Zugriff auf Banktransfer-Systeme zu erlangen. Durch die Installation des Remote-Access-Trojaners DarkWatchman konnten die Kriminellen unbemerkt Zahlungsaufträge erstellen, die als reguläre Gehältertransfers getarnt waren, aber zu eigenen Konten führten. Betroffen waren über 3.000 russische Organisationen, einzelne Diebstähle erreichten über eine Million Rubel. Obwohl die aktuelle Kampagne primär russische Ziele anvisierte, zeigt die Arbeitsweise des Hive0117-Netzwerks ein hohes Risiko auch für deutsche Unternehmen: Das bewährte Phishing-Schema mit täuschend echt wirkenden Geschäftsdokumenten funktioniert sprachunabhängig. Deutsche Firmen mit internationalen Verflechtungen, insbesondere solche mit russischen Geschäftspartnern, sollten ihre Finanzabteilungen verstärkt sensibilisieren und mehrstufige Sicherheitsverfahren implementieren.

Die Anschlagsmethode der Hive0117-Gruppe folgt einem bewährten Playbook, das Sicherheitsexperten zunehmend beunruhigt: Statt direkt auf Firewalls zu zielen, werden Mitarbeiter mit maßgeschneidertem Phishing angegriffen. Die F6-Forscher dokumentierten, wie die Kriminellen E-Mails verschickten, die von vermeintlich legitimen, aber tatsächlich kompromittierten Konten stammten – darunter auch von einer Moskauer Software-Entwicklerfirma. Die Nachrichten wirkten harmlos: passwortgeschützte Archive mit vermeintlichen Geschäftsdokumenten wie Rechnungen oder Versandpapieren.

Wer die Archive öffnete und die versteckte Datei ausführte, infizierte seinen Computer mit DarkWatchman. Das Remote-Access-Trojanische Pferd, das Hive0117 bereits seit 2021 nutzt, gibt Angreifern vollständige Kontrolle über das System. Sie können ferngesteuert Befehle ausführen, weitere Malware herunterladen und sich im Netzwerk ausbreiten.

Mit diesem Zugang zu Accountant-Computern konnten die Hacker in die Bankenportale eindringen und Transaktionen direkt vom kompromittierten System aus tätigen – was den Aktivitäten den Anschein von Legitimität verlieh. Besonders raffiniert: Sie manipulierten Gehaltszahlungsmechanismen, indem sie Zahlungsanordnungen erstellten, die mit Bankkonten verknüpft waren, die in der Registrierung als Mitarbeiterkonten aussahen, aber den Hackern gehörten. Solange die Überweisung die Betrugserkennung der Bank passierte, konnten große Summen abgezogen werden.

Hive0117 agiert seit Ende 2021. Die Gruppe konzentriert sich primär auf Finanzabteilungen verschiedenster Branchen, hat aber auch Ziele in Litauen, Estland, Belarus und Kasachstan angegriffen. Nach Analyse von F6 sind die Operationen nicht mit dem Russland-Ukraine-Konflikt verbunden; die tatsächliche Herkunft der Gruppe bleibt ungeklärt.

Für Unternehmen im deutschsprachigen Raum bietet dieser Fall mehrere Warnsignale: Finanzabteilungen sind besonders attraktiv für Kriminelle, weil sie direkten Zugriff auf Geldflüsse haben. Standard-Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung bei Bankzugriff und regelmäßige Phishing-Schulungen sind essentiell. Ebenso wichtig: Mikro-Segmentierung im Netzwerk, damit ein kompromittierter Buchhalter-PC nicht direkt auf Banking-Systeme zugreifen kann.

Ähnliche Artikel