Российские медицинские организации оказались в фокусе фишинговой атаки, где злоумышленники маскировались под представителей страховых фирм и других лечебных заведений. Десятки больниц получили письма, содержащие вредоносные вложения — троянские программы, предоставляющие киберпреступникам контроль над компьютерами сотрудников.
Как сообщили CNews в «Лаборатории Касперского», медучреждения в России столкнулись с кибератаками, имитирующими переписку от страховых компаний и больниц. В последние месяцы 2025 года хакеры рассылали электронные письма, выдавая себя за известные организации в сфере страхования и здравоохранения.
В четвертом квартале 2025 года эксперты «Лаборатории Касперского» зафиксировали целенаправленную вредоносную рассылку на адреса российских медицинских учреждений, проведенную от имени авторитетных страховщиков и клиник. Было обнаружено 63 письма с вложенным бэкдором — вредоносным ПО BrockenDoor, которое позволяло злоумышленникам удаленно управлять зараженными системами. Основными адресатами стали государственные медучреждения, однако специалисты не исключают, что атака могла затронуть и частный медицинский сектор.
По словам Дмитрия Галова, руководителя Kaspersky GReAT в России, в письмах утверждалось, что некий пациент недоволен качеством лечения по программе ДМС и направляет претензию, а все необходимые документы приложены к сообщению. Отправитель предлагал урегулировать вопрос в досудебном порядке. Как добавил эксперт, в других случаях использовалась иная легенда: письма приходили якобы от медицинских организаций с просьбой срочно госпитализировать пациента для специализированного лечения. Вероятно, злоумышленники будут и дальше изобретать новые предлоги, чтобы побудить получателей открывать опасные вложения.
Аналитики «Лаборатории Касперского» отмечают высокую степень убедительности таких рассылок, что повышает доверие со стороны персонала. Киберпреступники регистрируют почтовые домены, включающие названия реальных страховых или медицинских организаций, дополненные тематическими словами (например, insurance, medical, health, claim, policy). Это создает видимость законности отправителя. Еще одним признаком фишинговой кампании стала недавняя регистрация доменов — большинство из них были созданы за несколько дней или недель до начала активной фазы атаки. По мнению специалистов по информационной безопасности, такие методы позволяют обходить базовые спам-фильтры и увеличивают эффективность социальной инженерии.
После инфицирования устройства жертвы вредоносная программа устанавливает соединение с сервером злоумышленников и передает на него различные данные, такие как имя пользователя и компьютера, версия операционной системы, содержимое рабочего стола. Если эти данные представляют интерес, бэкдор получает с сервера инструкции для выполнения следующих этапов кибератаки.
«Рассылка электронных писем часто служит началом кибератак, являясь эффективным способом проникновения в корпоративные ИТ-системы, — пояснила CNews спам-аналитик «Лаборатории Касперского» Анна Лазаричева. — В этой ситуации злоумышленники привлекают внимание жертв, используя в теме письма вопросы, связанные с их профессиональной деятельностью. Расчет делается на неосторожные действия сотрудников, которые вынуждены быстро реагировать на поступающие обращения от пациентов».
По словам руководителя отдела защиты информации InfoWatch ARMA Романа Сафиуллина, BrockenDoor был впервые выявлен в ходе кибератак в конце 2024 года и применялся рядом группировок, включая BOTeam, которую связывают со спецслужбами Украины. Эксперт отметил, что среди наиболее известных кампаний с использованием BrockenDoor — атаки на российские государственные учреждения, в том числе суды, а также на объекты критической информационной инфраструктуры (КИИ).
В соответствии с законодательством о безопасности КИИ, медицинские учреждения обязаны обеспечивать защиту своих информационных систем от кибератак и оперативно информировать Федеральную службу безопасности (ФСБ) России о подобных инцидентах. Контроль за исполнением этих требований осуществляет прокуратура.
Для медицинских организаций подобные инциденты оборачиваются ущербом для репутации, а также финансовыми и юридическими рисками, — подчеркнул в беседе с «Ведомостями» директор по информационной безопасности сети клиник «Будь здоров» Андрей Эли. Роман Сафиуллин добавил, что еще одна опасность бэкдоров заключается в использовании зараженных устройств в качестве плацдарма для новых атак. Эти устройства могут стать точкой входа в другие медицинские учреждения через доверенную интрасеть, позволяя злоумышленникам перемещаться по недостаточно защищенной ИТ-инфраструктуре к новым целям, уточнил специалист.
Согласно данным издания «Медвестник», в 2024 году выяснилось, что Руднянская ЦРБ в Волгоградской области применяет в своей деятельности региональную медицинскую информационную систему, однако в её штате отсутствует эксперт по кибербезопасности. Требование о наличии такого сотрудника для учреждений с развитой ИТ-инфраструктурой закреплено постановлением Правительства РФ №1272. Решением суда больнице предписано принять на работу специалиста, ответственного за информационную безопасность.
Чтобы предотвратить подобные кибератаки, «Лаборатория Касперского» советует компаниям: проводить обучение персонала основам кибергигиены.
В этом могут помочь профильные учебные программы или тренинги, например, Kaspersky Automated Security Awareness Platform; внедрять решения для автоматической блокировки сомнительных писем, проверки запароленных архивов и применения технологии cloud detection and response (CDR), такие как Kaspersky Security для почтовых серверов в расширенной редакции KSMS Plus; обеспечивать ИБ-специалистов доступом к данным разведки об угрозах Threat Intelligence, чтобы они были в курсе современных методов, тактик и процедур, используемых злоумышленниками; отдавать предпочтение комплексным продуктам, которые помогают создать адаптивную систему защиты, включающую надёжную безопасность рабочих мест, сбор и анализ данных о событиях безопасности со всех компонентов ИТ-инфраструктуры, обнаружение и пресечение кибератак любой сложности на начальных этапах, а также обучение сотрудников базовым принципам цифровой грамотности.
Вариации подобных решений, учитывающие запросы организаций любого размера, представлены в линейке продуктов для защиты бизнеса Kaspersky Symphony.
