Бухгалтерия под прицелом: комплексная защита МСБ от бесфайловых угроз

Кибервойна окончательно перестала быть уделом крупных корпораций. Злоумышленники нашли «золотую жилу» — бухгалтерию малого и среднего бизнеса. Цифры этого года заставляют забыть о статистике прошлого.

За первые пять месяцев 2026 года в России зафиксировано уже 13 000 инцидентов, связанных с атаками на бизнес через легитимные каналы связи. Для сравнения: это больше, чем за весь 2025 год. Под прицелом — компании с интенсивными денежными потоками в сферах производства, консалтинга, строительства, недвижимости, а также образования и здравоохранения.

Почему именно МСБ? Одна успешная атака на компанию приносит преступникам гораздо большую финансовую выгоду, чем серия атак на частных лиц. Бухгалтер в этой схеме — главный ключ к кассе.

Троян из реестра: чем опасен DarkWatchman

Наряду с другими известными троянами (Buhtrap, Pure, Venom) в 2026 году особенно активен изощрённый инструмент — DarkWatchman. Это не новая угроза: первые случаи его использования были зафиксированы ещё в 2021 году. Однако именно сейчас, на волне повсеместной цифровизации и роста объёма электронного документооборота, он переживает вторую молодость.

Главное коварство DarkWatchman — в бестелесности. В отличие от классического вредоносного ПО, он не сохраняется как файл на диске. Троян работает непосредственно из системного реестра Windows. Это делает его практически невидимым для большинства классических антивирусных решений, которые сканируют только файловую систему.

Что получает хакер, когда бухгалтер случайно открывает «счёт-фактуру» или «акт выполненных работ» с таким «сюрпризом»?

1. Полный контроль над устройством. Злоумышленник может подгружать любые дополнительные модули.

2. Скрытое наблюдение. Фиксация нажатий клавиш, скриншоты рабочего стола, доступ к электронной почте.

3. Латеральное движение. Заражённый ПК становится плацдармом для атаки на всю сеть организации.

Хуже кражи: подмена реквизитов

Получив доступ к системе, злоумышленники не просто крадут пароли от системы «Клиент-Банк». Они могут в реальном времени подменять реквизиты в исходящих платёжных поручениях. Вы отправляете контрагенту счёт, а деньги уходят на счёт мошенников.

Кроме того, через почту бухгалтера автоматически рассылаются «цепные письма» контрагентам. Ваши же партнёры получают вирус от вашего имени — так атака расползается по цепочке поставок.

Цифровизация как приманка

Технологии, которые спасают бизнес от бумажного хаоса, стали спасательным кругом для преступников. Электронный документооборот, счета-фактуры в PDF и договоры в Word — идеальная маскировка для вредоносного кода.

Мы привыкли доверять входящим файлам от знакомых контрагентов. Но сегодня этот доверительный канал превратился в главный вектор атаки. Вредоносное ПО маскируется под:

• счета-фактуры (например, счёт_125.docm или счёт-фактура_№125.js);

• акты выполненных работ;

• письма от имени контрагентов или госорганов.

Как защитить бухгалтерию: комплексный подход для МСБ

Эксперты по информационной безопасности единогласны: надеяться на «авось» и базовый антивирус больше нельзя. МСБ нуждается в комплексной защите, которая включает несколько обязательных уровней.

1. Внедрение поведенческого анализа (EDR)

Классические антивирусы (сигнатурные) бесполезны против бесфайловых угроз вроде DarkWatchman, потому что у них нет сигнатуры файла. Нужны решения класса EDR (Endpoint Detection and Response), которые анализируют поведение программ: если приложение пытается прописать себя в реестре или запустить скрытый скрипт PowerShell — оно блокируется в моменте.

2. Межсетевые экраны и фильтрация трафика

Компьютер бухгалтера не должен иметь прямого доступа в интернет без фильтрации на уровне межсетевого экрана нового поколения (NGFW). Это позволяет блокировать обращение к командно-контрольным серверам злоумышленников ещё до того, как троян активируется.

3. Сегментация сети

Критически важно разделить сети: гостевая Wi-Fi, офисная и бухгалтерская должны находиться в разных виртуальных сетях (VLAN). Если заразят ПК менеджера, вирус не должен переползти на компьютер главного бухгалтера или бухгалтерский сервер.

4. Регулярное обновление ПО (Patch Management)

DarkWatchman и подобные ему трояны часто используют известные уязвимости в старых версиях Windows, Java, ПО для бухгалтерии (1С, СБиС) и браузеров. Своевременное закрытие «дыр» — это закрытая дверь для злоумышленника.

5. Тренинги по кибергигиене

Сотрудники должны знать не абстрактные правила, а конкретные рефлексы:

• Сверять расширения файлов (документ.exe или счёт.pdf?).

• Никогда не запускать макросы из вложенных документов без дополнительной проверки.

• Подтверждать смену реквизитов по телефону — обязательный голосовой звонок контрагенту, а не только ответ по почте.

Чек-лист дополнительных мер защиты

Помимо пяти ключевых направлений, эксперты рекомендуют проверить ещё три важных аспекта, которые часто упускают из виду в МСБ:

✅ Настройка антифишинга на почтовом шлюзе

Большинство атак начинается с фишингового письма. Почтовый шлюз с функцией антифишинга отсекает подозрительные вложения и ссылки ещё до того, как они попадут в папку «Входящие» бухгалтера. Это первый барьер, который снижает нагрузку на человеческий фактор.

✅ Настройка SPF, DKIM, DMARC для домена

Эти три технологии почтовой аутентификации защищают ваш домен от подделки. Они гарантируют, что письма от вашего имени действительно отправлены с ваших серверов, а не злоумышленниками. Без них мошенники могут легко подделать адрес отправителя и рассылать вредоносные письма вашим контрагентам от вашего имени. Настройка SPF, DKIM и DMARC — обязательный минимум для любого бизнеса, который использует электронную почту для коммуникаций с партнёрами и клиентами.

✅ Минимизация привилегий рядовых пользователей

Принцип наименьших привилегий (PoLP) гласит: сотрудник должен иметь доступ только к тем данным и системам, которые необходимы для выполнения его рабочих задач. Бухгалтеру не нужны права администратора на своём ПК для установки любого ПО. Если троян проникнет в систему, запуск от имени ограниченного пользователя существенно снижает его возможности по внедрению в реестр и распространению по сети.

Вывод

Киберпреступность в 2026 году стала высокоинтеллектуальной, а главной её целью — бухгалтерия МСБ. Троян DarkWatchman (известный ещё с 2021 года) и подобные ему RAT-инструменты работают по принципу «невидимого паразита». Спасти бизнес может только эшелонированная оборона:

• EDR — для ловли поведенческих аномалий;

• межсетевые экраны — для блокировки вредоносного трафика;

• сегментация — для сдерживания атаки внутри одного сегмента;

• управление обновлениями — для закрытия известных уязвимостей;

• обученные сотрудники — чтобы не открыть дверь взломщику самим;

• антифишинг и почтовая аутентификация — чтобы отсечь угрозы на входе;

• минимальные привилегии — чтобы ограничить разрушительную силу атаки.

Проверьте, защищена ли бухгалтерия вашей компании по всем этим направлениям. Потому что вопрос уже не в том, произойдёт ли атака, а в том, обнаружите ли вы её вовремя.

Нужна помощь в аудите и настройке комплексной защиты для вашего бизнеса? Специалисты ГК «IT Полюс» помогут подобрать, внедрить и настроить подходящие вам решения с учётом реальных угроз 2026 года.