В конце 2025 года десятки медицинских учреждений на территории России оказались под прицелом целенаправленных атак, проводимых с использованием электронной почты. Исследователи из «Лаборатории Касперского» сообщили, что злоумышленники рассылали вредоносные письма с убедительными легендами, маскируясь под известных участников страхового или медицинского рынка.
Тематика обращений строилась на узнаваемых и деловых сюжетах. В одних случаях говорилось о недовольстве пациента лечением в рамках добровольного медицинского страхования. В письме указывалось, что жалоба будет урегулирована без суда, если получатель ознакомится с «подтверждающими документами». В других вариантах содержались срочные просьбы о госпитализации пациента, якобы направленные от имени другой клиники.
Письма сопровождались вложениями, за которыми скрывался вредоносный код.
Представители «Лаборатории Касперского» отмечают, что используемые доменные имена внешне напоминали адреса реальных учреждений, но содержали дополнительные элементы вроде «insurance» или «medical». Эти адреса были зарегистрированы за короткое время до начала атак — что характерно для нацеленных фишинговых кампаний.
Во вложенных файлах скрывался бэкдор под названием BrockenDoor. Эта вредоносная программа была впервые обнаружена в конце 2024 года.
При открытии вложения она запускалась автоматически, после чего связывалась с внешним сервером, передавая злоумышленникам сведения об имени пользователя, устройстве, версии операционной системы и содержимом рабочего стола. Если информация представляла интерес, на инфицированную систему поступали дополнительные инструкции.
Анна Лазаричева, спам-аналитик «Лаборатории Касперского», пояснила, что такие кампании нередко ориентированы на психологическое давление. Сообщения, касающиеся жалоб и неотложных задач, побуждают сотрудников к немедленным действиям.
Этим и пользуются авторы атак, рассчитывая на то, что пользователь откроет вложение без лишней проверки.
По данным «Лаборатории Касперского», в 2025 году число атак, связанных с применением бэкдоров, увеличилось на 61% по сравнению с предыдущим годом. Эти инструменты позволяют злоумышленникам скрытно контролировать систему, продвигаться по внутренней сети и собирать чувствительную информацию, включая документы и конфиденциальные базы.