Uma recente onda de ataques digitais voltou a evidenciar a vulnerabilidade dos departamentos financeiros, que seguem entre os alvos mais críticos dentro das empresas. Dessa vez, criminosos virtuais conseguiram desviar milhões de rublos de organizações russas ao comprometer computadores de profissionais da contabilidade e transformar operações fraudulentas em pagamentos aparentemente legítimos da folha salarial.
Segundo um relatório divulgado nesta semana pela empresa de cibersegurança F6, a ação foi realizada pelo grupo Hive0117 entre fevereiro e março de 2026, com foco direto em áreas financeiras corporativas. A campanha se destacou não apenas pelo número expressivo de empresas atingidas, mas também pela forma estratégica como os invasores ajustaram suas táticas para se encaixar nas rotinas operacionais e nos sistemas bancários utilizados no dia a dia.
De acordo com o levantamento, mais de 3 mil companhias russas foram alvo de e-mails maliciosos. O maior prejuízo registrado ultrapassou 14 milhões de rublos (cerca de US$ 178 mil). A abordagem, apesar de parecer simples, envolvia alto nível de sofisticação: os hackers enviavam mensagens de phishing direcionadas a funcionários dos setores financeiro e contábil, se passando por contatos confiáveis e utilizando documentos comuns como isca.
As mensagens partiam de contas aparentemente legítimas, possivelmente comprometidas anteriormente. Entre elas, havia inclusive o acesso a um e-mail ligado a uma desenvolvedora de aplicativos sediada em Moscou. Os anexos eram protegidos por senha e simulavam arquivos corporativos rotineiros, como notas fiscais, comprovantes de conciliação e documentos relacionados a logística. Esse detalhe contribuía para reduzir a suspeita das vítimas, acostumadas com esse tipo de material.
Ao abrir o arquivo compactado e executar um elemento oculto, o usuário acabava infectando o computador com o malware DarkWatchman, um trojan de acesso remoto já conhecido. Esse tipo de ameaça permite que os criminosos controlem o dispositivo de forma silenciosa, executem comandos à distância, instalem ferramentas adicionais e se movimentem dentro da rede da empresa, ampliando o alcance da invasão.
Com acesso a máquinas de profissionais autorizados, os invasores conseguiam entrar nos sistemas bancários utilizados pelas empresas para gerenciar pagamentos. Esse ponto é considerado um dos mais críticos: como as operações partiam de dispositivos legítimos, as transações não levantavam suspeitas imediatas. Na prática, os criminosos atuavam internamente no ambiente financeiro da organização.
Na campanha mais recente, os hackers passaram a explorar o próprio sistema de folha de pagamento para gerar ordens de transferência vinculadas a contas aparentemente legítimas. Embora parecessem pertencer a funcionários, essas contas eram controladas pelos próprios atacantes. Caso os sistemas antifraude dos bancos não identificassem irregularidades, os valores eram liberados e posteriormente sacados.
O episódio evidencia uma mudança relevante no cenário do cibercrime financeiro. Em vez de depender exclusivamente do roubo de credenciais ou ataques genéricos, os grupos estão investindo em técnicas que replicam processos corporativos reais. Ao simular pagamentos salariais, os criminosos se aproveitam de uma das rotinas mais previsíveis e essenciais das empresas, tornando a fraude difícil de detectar.
Ativo desde o final de 2021, o grupo Hive0117 tem como principal alvo departamentos financeiros em diversos setores. Embora a maior parte das ações recentes tenha ocorrido na Rússia, campanhas anteriores também atingiram países como Lituânia, Estônia, Belarus e Cazaquistão. Ainda não há confirmação sobre a origem dos responsáveis nem ligação direta com conflitos cibernéticos mais amplos.
O uso do malware DarkWatchman não é novidade nas operações do grupo. Em 2025, ataques semelhantes já haviam sido registrados com versões modificadas da ferramenta. Em 2023, o Hive0117 também foi identificado em campanhas que simulavam comunicações oficiais do governo russo, incluindo mensagens falsas de alistamento militar para disseminar o mesmo tipo de ameaça.
O caso reforça um alerta importante para empresas de todos os portes: o setor financeiro segue sendo um dos pontos mais sensíveis em termos de segurança digital. Mais do que treinar colaboradores para evitar golpes, é fundamental revisar processos de autorização bancária, fortalecer mecanismos de autenticação, limitar acessos e monitorar de forma rigorosa as atividades em sistemas críticos. Quando ataques conseguem se camuflar na rotina operacional, os prejuízos podem ocorrer antes mesmo de qualquer sinal de alerta.
