«Лаборатория Касперского» обнаружила волну целевых вредоносных рассылок на десятки медицинских учреждений в России. В конце 2025 г. злоумышленники отправляли им электронные письма от имени известных страховых компаний либо больниц. Во вложениях таких рассылок скрывался бэкдор, который позволяет атакующим управлять заражённым компьютером жертвы.
Легенды. В письмах сообщается, что некий клиент недоволен лечением в больнице-адресате в рамках добровольного медицинского страхования и подаёт претензию, а все подтверждающие документы якобы можно найти во вложении. Организации предлагают «мирно уладить ситуацию». В некоторых сообщениях применяется другая легенда: они написаны якобы от лица медучреждений и содержат просьбу к организации-адресату срочно принять некоего пациента для прохождения специализированного лечения. Вероятно, злоумышленники продолжат придумывать новые предлоги, чтобы убедить жертву открыть вложение.
Рассылка выглядит правдоподобно: злоумышленники используют домены электронной почты, которые содержат названия реальных страховых компаний или учреждений здравоохранения, но к ним добавлены другие слова, например на медицинскую тему, такие как insurance или medical. Домены, с которых приходят такие письма, были зарегистрированы незадолго до их использования в рассылках.
Чем заражают. В письмах, которые получают атакованные, содержатся архивы с вредоносным ПО BrockenDoor. Этот бэкдор был впервые обнаружен в кибератаках в конце 2024 г. После установки на компьютер жертвы зловред может связываться с сервером злоумышленников и отправлять им различную информацию, например имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она кажется им интересной, бэкдор получает команды для запуска дальнейших сценариев атаки.
«Атаки часто начинаются с рассылки электронных писем, это один из действенных методов проникнуть в системы организации. В данном случае злоумышленники берут жертв на крючок тем, что используют темы, связанные со служебными обязанностями получателей. Атакующие рассчитывают на их необдуманные действия, ведь работники должны оперативно реагировать на поступившие жалобы, — сказала Анна Лазаричева, спам-аналитик в „Лаборатории Касперского“. — Злоумышленники постоянно ищут новые способы обхода защитных решений, поэтому стоит непрерывно повышать уровень осведомлённости о цифровой безопасности в коллективе. Если сотрудники будут знать о существовании подобных приманок и техник и с осторожностью относиться к входящим сообщениям, это значительно повысит киберустойчивость организации».
«По нашим данным, в 2025 г. число кибератак на организации с применением бэкдоров выросло на 61% по сравнению с 2024. Такие зловреды используются для скрытого управления скомпрометированной системой, включая дальнейшее заражение и распространение по сети. В кампаниях кибершпионажа они, например, позволяют красть конфиденциальные документы и другую внутреннюю корпоративную информацию. В дальнейшем атакующие могут использовать извлечённые данные в качестве инструмента шантажа либо перепродавать их третьим лицам, — сказал Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследований и анализа угроз „Лаборатории Касперского“) в России. — Чтобы не допустить заражение бэкдором и другим вредоносным ПО, важно в том числе доносить до сотрудников необходимость очень внимательно относиться к любым поступающим заявкам, даже если они составлены по всем канонам деловой переписки».
Чтобы защититься от подобных атак, «Лаборатория Касперского» рекомендует организациям: обучать сотрудников основам кибербезопасности. В этом помогут специализированные курсы или тренинги, например, Kaspersky Automated Security Awareness Platform; использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus; предоставлять ИБ-специалистам доступ к данным о киберугрозах Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур злоумышленников; делать выбор в пользу комплексных продуктов, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.