Эксперты выявили волну целевых атак на медицинские организации России
«Лаборатория Касперского» зафиксировала серию целевых вредоносных рассылок, направленных на десятки медицинских учреждений России в конце 2025 года. Злоумышленники использовали легенды о жалобах пациентов и переводах больных для внедрения шпионского программного обеспечения в корпоративные сети клиник.
Атакующие применяли методы социальной инженерии, рассылая электронные письма от имени известных страховых компаний или других лечебных учреждений. В сообщениях содержалась информация о том, что клиент якобы недоволен услугами, полученными по полису добровольного медицинского страхования (ДМС), и подает официальную претензию. Другая легенда предполагала запрос от «коллег» на срочный прием пациента для специализированного лечения. Сотрудникам предлагалось открыть вложение для ознакомления с документами, однако архив содержал вредоносный файл.
Для повышения доверия жертв организаторы кампании использовали специально зарегистрированные домены, имитирующие реальные веб-адреса организаций здравоохранения. К названиям брендов добавлялись тематические слова, такие как insurance или medical. Регистрация подобных доменов происходила незадолго до начала активной фазы рассылки, что характерно для целевых фишинговых операций.
Основным инструментом взлома выступил бэкдор BrockenDoor, впервые обнаруженный специалистами в кибератаках в конце 2024 года. После проникновения на устройство программа устанавливала связь с удаленным сервером злоумышленников и передавала техническую информацию: имя пользователя, параметры операционной системы и перечень файлов на рабочем столе. На основе этих данных операторы атаки принимали решение о запуске дополнительных сценариев заражения.
Руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) в России Дмитрий Галов сообщил, что в 2025 году количество атак на организации с использованием бэкдоров увеличилось на 61% по сравнению с предыдущим годом. Подобное вредоносное ПО обеспечивает скрытое управление скомпрометированной инфраструктурой, позволяя преступникам проводить кибершпионаж, похищать внутреннюю документацию и распространяться дальше по сети. Похищенная информация впоследствии может использоваться для шантажа или перепродажи третьим лицам.
Специалисты по информационной безопасности подчеркивают, что атаки через электронную почту остаются одним из наиболее эффективных векторов проникновения. Злоумышленники эксплуатируют профессиональные обязанности сотрудников, которые вынуждены оперативно реагировать на жалобы и запросы. Для защиты инфраструктуры эксперты рекомендуют внедрять автоматизированные системы блокировки подозрительных писем и регулярно проводить обучение персонала методам цифровой гигиены.
