Медучреждения в России стали мишенью целевой фишинговой кампании, замаскированной под переписку со страховыми компаниями и другими больницами. Хакеры отправляют письма на десятки медицинских организаций, а во вложениях прячут трояны, позволяющие атакующим управлять зараженными компьютерами пользователей-жертв.
Кибератаки на больницы
Медучреждения в России подверглись кибератакам от лица страховщиков и больниц, об этом CNews сообщили представители "Лаборатории Касперского". В конце 2025 г. хакеры отправляли им электронные письма от имени известных страховых компаний либо больниц.
В IV квартале 2025 г. "Лаборатория Касперского" обнаружила волну целевых вредоносных рассылок на российские медицинские учреждения от имени известных страховых компаний и больниц. Аналитиками было выявлено 63 письма, содержащих во вложении бэкдор, или вредоносное программное обеспечение (ПО) BrockenDoor, который позволял атакующим управлять зараженным компьютером пользователей-жертв. Письма были направлены в российские государственные медицинские учреждения, но в компании не исключают, что рассылка могла затронуть и частные медицинские организации.
В письмах сообщается, что некий клиент недоволен лечением в больнице-адресате по программе добровольного медицинского страхования (ДМС) и подает якобы претензию, а все подтверждающие документы можно найти во вложении, рассказывает CNews руководитель Kaspersky GReAT в России Дмитрий Галов. В связи с этим автор письма предлагал организации мирно уладить ситуацию. В некоторых сообщениях использовалась другая легенда, продолжил эксперт. Письма были написаны якобы от лица медицинских учреждений и содержали просьбу к организации-адресату срочно принять некоего пациента для прохождения специализированного лечения, рассказывает эксперт. Вероятно, злоумышленники продолжат придумывать новые предлоги, чтобы убедить жертву открыть вложение, добавил он.
Необдуманные действия сотрудников
По оценке аналитиков "Лаборатории Касперского", рассылки данного типа обладают высокой степенью правдоподобия и способны вызывать доверие у получателей. Злоумышленники регистрируют домены электронной почты, в которых используются названия реальных страховых компаний или медицинских учреждений, с последующим добавлением слов, связанных с тематикой страхования и здравоохранения (например, insurance, medical, health, claim, policy и аналогичных). Такой подход создает иллюзию легитимности отправителя. Дополнительным признаком фишинговой кампании является недавняя регистрация доменов: большинство из них создано за несколько дней или недель до начала активной фазы рассылок. Указанные характеристики, по мнению исследователей по информационной безопасности (ИБ), позволяют эффективно обходить базовые механизмы фильтрации спама и повышать вероятность успешной социальной инженерии.
После установки на компьютер пользователя-жертвы зловред может связываться с сервером злоумышленников и отправлять им различную информацию, например имя пользователя и компьютера, версию операционной системы (ОС), список найденных на рабочем столе файлов. Если она кажется им интересной, бэкдор получает команды для запуска дальнейших сценариев кибератаки.
"Кибератаки часто начинаются с рассылки электронных писем, это один из действенных методов проникнуть в ИТ-системы организации, - рассказывает CNews спам-аналитик "Лаборатории Касперского" Анна Лазаричева. - В данном случае хакеры берут жертв на крючок тем, что используют темы, связанные со служебными обязанностями получателей. Атакующие рассчитывают на их необдуманные действия, ведь работники должны оперативно реагировать на поступившие жалобы от пациентов".
Украинский след
BrockenDoor был впервые обнаружен в кибератаках в конце 2024 г. и использовалось во множестве группировок, таких как BOTeam, предположительно аффилированной с органами внешней разведки Украины, рассказывает руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин. Из наиболее известных кампаний, в которых применялся BrockenDoor, можно выделить кибератаки на российские государственные структуры, в частности судебную систему, а также на объекты критической информационной инфраструктуры (КИИ), добавил эксперт.
Риски для организаций
Медицинские организации по закону о безопасности КИИ должны защищать информационные системы от кибератак и оперативно сообщать о таких ИТ-инцидентах в Федеральную службу безопасности (ФСБ) России. За соблюдением законодательства следит прокуратура.
Для самих медицинских организаций это репутационные потери, финансовые и юридические риски, отметил "Ведомостям" директор по ИБ сети клиник "Будь здоров" Андрей Эли. Роман Сафиуллин добавил, что еще одна ИТ-угроза, которую может нести бэекдоры, - это использование зараженных устройств в качестве плацдарма для последующих кибератак. Эти устройства могут стать точкой входа в другие медицинские организации при наличии доверенного интранета, позволяя хакерам продвигаться к другим целям через доверенную ИТ-инфраструктуру, которая может быть лишена средств защиты, пояснил эксперт.
По информации "Медвестник", в 2024 г. было установлено, что Руднянская центральная районная больница Волгоградской области использует в работе региональную информационную систему в сфере здравоохранения, но не имеет в штате специалиста по кибербезопасности. Наличие такого сотрудника в организациях со значимой ИТ-инфраструктурой регламентировано в постановлении Правительства России №1272. Местный суд обязал больницу нанять специалиста, который будет заниматься обеспечением ИБ.
Защита и обучение
Для того чтобы защититься от подобных кибератак, "Лаборатория Касперского" рекомендует организациям: обучать сотрудников основам кибербезопасности.
В этом помогут специализированные курсы или тренинги, использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию сloud detection and response (CDR), предоставлять ИБ-специалистам доступ к данным о киберугрозах Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур злоумышленников; делать выбор в пользу комплексных продуктов, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надежной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в ИТ-инфраструктуре, выявление и остановку кибератак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности....