«Лаборатория Касперского» зафиксировала серию целевых фишинговых атак, направленных на медицинские организации в России. В конце 2025 года под удар попали десятки больниц и клиник, сотрудники которых начали массово получать письма с внешне правдоподобным содержанием. Сообщения выглядели как обычная рабочая переписка, однако во вложениях скрывался вредоносный код.
Злоумышленники действовали под видом страховых компаний и медицинских учреждений. В одном из сценариев в письме утверждалось, что пациент недоволен качеством лечения по ДМС и намерен подать претензию, а все якобы подтверждающие документы предлагалось открыть во вложенном файле. В других случаях рассылки шли от имени больниц с просьбой срочно принять пациента на специализированное лечение. Эксперты отмечают, что подобные легенды могут и дальше меняться, поскольку ключевая цель атакующих — заставить получателя открыть файл.
Для рассылки использовались домены, в названиях которых фигурировали реальные страховые компании и медорганизации, но с добавлением слов вроде insurance или medical. Такие домены регистрировались незадолго до начала кампаний, что характерно для целевых атак. Во вложениях находился бэкдор BrockenDoor, впервые замеченный в атаках в конце 2024 года. После запуска он связывался с сервером злоумышленников и передавал сведения о системе, включая имя пользователя, название компьютера, версию операционной системы и список файлов на рабочем столе. При интересе к полученным данным атакующие могли переходить к следующим этапам атаки.
Спам-аналитик «Лаборатории Касперского» Анна Лазаричева пояснила, что электронная почта по-прежнему остается одним из самых эффективных способов проникновения в корпоративные сети. По ее словам, в данном случае злоумышленники делают ставку на служебные обязанности сотрудников, поскольку жалобы пациентов и срочные запросы требуют быстрой реакции.
В компании также сообщили, что в 2025 году количество атак с использованием бэкдоров выросло на 61 процент по сравнению с предыдущим годом. Такие инструменты позволяют незаметно управлять зараженными системами, развивать атаку внутри сети и похищать конфиденциальные документы. Руководитель Kaspersky GReAT в России Дмитрий Галов отметил, что полученные данные могут использоваться для шантажа или перепродаваться третьим лицам. По его словам, наряду с техническими мерами защиты критически важным остается обучение сотрудников и внимательное отношение к входящей почте, поскольку даже идеально оформленные письма не должны снижать уровень критического мышления.
