Киберпреступность в России вышла на новый уровень, целенаправленно атакуя одну из самых уязвимых и социально значимых сфер — здравоохранение.
Эксперты «Лаборатории Касперского» зафиксировали в конце 2025 года масштабную серию фишинговых атак, нацеленных на десятки медицинских организаций по всей стране.
Злоумышленники используют изощрённые социальные инженерные приёмы, маскируя вредоносные рассылки под обычную рабочую переписку, что создаёт реальную угрозу безопасности персональных данных пациентов и работе клиник в целом.
Атаки были тщательно спланированы и использовали доверие, возникающее при получении официальных служебных запросов. Одним из распространённых сценариев стало письмо, якобы поступившее от страховой компании.
В нём содержалось уведомление о жалобе пациента на качество лечения по полису ДМС с требованием срочно ознакомиться с приложенными «документами для разбирательства».
В другом случае отправители представлялись сотрудниками других медучреждений, срочно направляющими пациента на специализированное лечение и прикрепляющими «историю болезни».
Как отмечают специалисты, легенды могут варьироваться, но суть остаётся неизменной — спровоцировать у сотрудника чувство служебной ответственности и заставить его открыть вложение.
Техническая подготовка атак также говорит об их целевой природе. Для рассылок злоумышленники регистрировали доменные имена, визуально почти неотличимые от адресов реальных страховых компаний и известных клиник, но с добавлением таких слов, как «insurance» или «medical».
Эти домены создавались незадолго до начала кампании, что является классическим признаком подготовленной атаки, а не случайного спама.
Внутри безобидных на первый взгляд вложений — чаще всего архивов или документов — скрывался вредоносный код. Эксперты идентифицировали его как бэкдор BrockenDoor, впервые замеченный в конце 2024 года.
После запуска на компьютере жертвы эта программа незаметно передаёт своим операторам ключевую информацию о системе: имя пользователя, название компьютера, версию операционной системы и даже список файлов на рабочем столе.
Получив эти данные, злоумышленники могут принять решение о дальнейшем развитии атаки для более глубокого проникновения в сеть учреждения.
«Электронная почта по-прежнему остаётся одним из самых эффективных каналов проникновения в корпоративные сети, — комментирует спам-аналитик «Лаборатории Касперского» Анна Лазаричева.— В данном случае преступники сделали ставку на служебную ответственность сотрудников, поскольку вопросы, связанные с жалобами пациентов или срочным направлением на лечение, не терпят отлагательств».
Ситуация усугубляется общей тенденцией роста подобных угроз. По данным компании, в 2025 году число атак с использованием бэкдоров, скрытно контролирующих заражённые системы, выросло на 61% по сравнению с предыдущим периодом.
Эти инструменты позволяют не только похищать конфиденциальные документы, включая медицинские записи, но и долгое время оставаться незамеченными.
«Украденные данные могут использоваться для самого разного криминала: от шантажа самих учреждений до продажи персональной информации пациентов на чёрном рынке, — отмечает руководитель группы исследования вредоносных программ Kaspersky GReAT в России Дмитрий Галов. — Поэтому сегодня, наряду с внедрением современных технических средств защиты, критически важным становится непрерывное обучение персонала цифровой гигиене и воспитание культуры критического отношения к любому входящему письму, даже самому правдоподобному».
Эта волна атак стала тревожным сигналом для всей отрасли. Она демонстрирует, что киберпреступники не только прекрасно изучили внутренние документооборот больниц, но и умело играют на человеческом факторе, который зачастую остаётся самым слабым звеном в системе безопасности.
Автор: Валерия Кистерная
