Специалисты «Лаборатории Касперского» выявили серию целенаправленных вредоносных рассылок, нацеленных на множество российских медицинских организаций. В последние месяцы 2025 года злоумышленники рассылали сотрудникам этих учреждений электронные сообщения, маскируясь под известные страховые компании или клиники. Во вложенных файлах скрывался бэкдор, предоставляющий злонамеренным акторам контроль над скомпрометированным компьютером.
Сценарии атак. В тексте писем утверждается, что некий пациент не удовлетворён качеством медицинской помощи, полученной по полису ДМС, и направляет официальную претензию, а все необходимые документы, якобы, прикреплены к письму. Адресатам предлагается «разрешить ситуацию в досудебном порядке». В других вариантах используется иная легенда: письмо оформлено как срочный запрос от другого медучреждения о необходимости экстренной госпитализации пациента для специализированного лечения. Скорее всего, злоумышленники и впредь будут изобретать новые правдоподобные предлоги, чтобы побудить получателей открыть опасное вложение.
Рассылки выглядят убедительно: атакующие используют почтовые домены, в названиях которых фигурируют реальные страховые или медицинские организации, но с добавлением тематических слов, например, insurance или medical. Эти домены были зарегистрированы незадолго до начала кампании.
Вредоносная нагрузка. Получателям атакованных организаций присылают архивы, содержащие вредоносную программу BrockenDoor. Этот бэкдор был впервые замечен в кибератаках в конце 2024 года. После внедрения в систему он устанавливает связь с командным сервером злоумышленников и передаёт им различные данные: имя пользователя и компьютера, версию ОС, перечень файлов с рабочего стола. Если информация представляет интерес, бэкдор получает команды для выполнения следующих этапов атаки.
«Кибератаки часто стартуют с фишинговых рассылок — это по-прежнему один из самых эффективных способов проникновения в корпоративную инфраструктуру. В данном случае злоумышленники играют на служебных обязанностях сотрудников, рассчитывая на их мгновенную реакцию, ведь работа с жалобами пациентов требует оперативности, — прокомментировала Анна Лазаричева, спам-аналитик «Лаборатории Касперского». — Противники постоянно совершенствуют методы обхода защитных механизмов, поэтому критически важно регулярно обучать персонал основам кибергигиены. Понимание сотрудниками подобных тактик и внимательное отношение к входящей корреспонденции существенно укрепляют киберустойчивость компании».
«Согласно нашей статистике, в 2025 году количество кибератак на компании с использованием бэкдоров увеличилось на 61% в сравнении с предыдущим годом. Эти вредоносные программы предназначены для тайного контроля над взломанной системой, что включает её дальнейшее заражение и продвижение по корпоративной сети. В операциях цифрового шпионажа они, в частности, дают возможность похищать секретные документы и иную внутреннюю информацию организаций. Впоследствии злоумышленники могут применять украденные данные для шантажа либо перепродавать их другим заинтересованным сторонам, — отметил Дмитрий Галов, руководитель российского подразделения Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»). — Для предотвращения заражения бэкдорами и иным вредоносным кодом критически важно, среди прочего, разъяснять персоналу необходимость крайне осторожного подхода ко всем входящим запросам, даже если они оформлены в полном соответствии с правилами деловой коммуникации».
Для противодействия подобным угрозам «Лаборатория Касперского» советует компаниям придерживаться следующих мер: проводить обучение сотрудников основам кибергигиены. В этом могут помочь специальные учебные программы, такие как Kaspersky Automated Security Awareness Platform; внедрять решения, автоматически блокирующие подозрительные электронные письма, проверяющие защищённые паролем архивы и использующие технологию CDR, например, Kaspersky Security для почтовых серверов в составе расширенной версии KSMS Plus; обеспечивать специалистам по информационной безопасности доступ к данным Threat Intelligence о киберугрозах, чтобы быть в курсе современных методов, тактик и процедур, применяемых злоумышленниками; отдавать предпочтение комплексным продуктам, которые позволяют создать адаптивную систему защиты. Это включает обеспечение надёжной безопасности рабочих станций, сбор и анализ данных о событиях безопасности со всех элементов инфраструктуры, обнаружение и пресечение атак любой сложности на начальных этапах, а также обучение сотрудников базовым принципам цифровой грамотности. Наборы подобных решений, которые можно гибко комбинировать в соответствии с потребностями бизнеса любого размера, представлены в линейке продуктов для защиты компаний Kaspersky Symphony.
