Медучреждения России атакуют под видом писем от страховых

«Лаборатория Касперского» обнаружила волну целевых вредоносных рассылок на десятки медицинских учреждений в России. В конце 2025 года злоумышленники отправляли им электронные письма от имени известных страховых компаний либо больниц. Во вложениях таких рассылок скрывался бэкдор, который позволяет атакующим управлять заражённым компьютером жертвы. Данные представили на пресс-конференции по итогам 2025 года и прогнозам на 2026-й, на которой присутствовал представитель «Киберболоида»

Атака началась с писем, где сообщалось, что некий клиент недоволен лечением в больнице-адресате в рамках добровольного медицинского страхования и подаёт претензию. Все подтверждающие документы получатель якобы мог найти во вложении. Организации предлагали мирно уладить ситуацию. 

В некоторых сообщениях применялась другая легенда. Они были написаны якобы от лица медучреждений и содержали просьбу к организации-адресату срочно принять некоего пациента для прохождения специализированного лечения. Вероятно, злоумышленники и дальше продолжат придумывать новые предлоги, чтобы убедить жертву открыть вложение.

Для убедительности злоумышленники используют адреса электронной почты, которые содержат названия реальных страховых компаний или учреждений здравоохранения. К этим названиям добавлены другие слова на медицинскую тему, например, insurance или medical. Домены, с которых приходят такие письма, были зарегистрированы незадолго до их использования в рассылках.

В письмах содержатся архивы с вредоносным ПО BrockenDoor. Этот бэкдор был впервые обнаружен в кибератаках в конце 2024 года. После установки на компьютер жертвы зловред может связываться с сервером злоумышленников и отправлять им различную информацию, например, имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она кажется им интересной, бэкдор получает команды для запуска дальнейших сценариев атаки.

Эксперты поясняют, что в данном случае злоумышленники ловят жертв на крючок тем, что используют темы, связанные с их служебными обязанностями. Атакующие рассчитывают на необдуманные действия, ведь работники должны оперативно реагировать на поступившие жалобы. Специалисты по информационной безопасности отмечают, что злоумышленники постоянно ищут новые способы обхода защитных решений.

Как отметили ИБ-аналитики, в 2025 году число кибератак на организации с применением бэкдоров выросло на 61% по сравнению с 2024 годом. Такие зловреды используются для скрытого управления скомпрометированной системой, включая дальнейшее заражение и распространение по Сети. В кампаниях кибершпионажа они позволяют красть конфиденциальные документы и другую внутреннюю корпоративную информацию. В дальнейшем атакующие могут использовать извлечённые данные в качестве инструмента шантажа или перепродавать их третьим лицам.