Российская система здравоохранения оказалась под прицельным ударом киберпреступников. В конце 2025 года медицинские учреждения по всей стране столкнулись с новой волной фишинговых атак, замаскированных под официальную деловую переписку со страховыми компаниями и коллегами из других клиник. Врачи и административный персонал массово получали электронные письма с троянами, которые внешне выглядели вполне легитимно, но во вложениях скрывали опасное вредоносное программное обеспечение. Россия под атакой хакеров.
Социальная инженерия вместо грубой силы
По данным экспертов по кибербезопасности, злоумышленники сделали ставку не на сложные технические уязвимости, а на человеческий фактор. Письма были составлены так, чтобы вызывать у получателей чувство срочности и профессиональной ответственности. В одних случаях речь шла о якобы поданной пациентом претензии по линии добровольного медицинского страхования, в других — о настоятельной просьбе срочно принять больного для специализированного лечения.
Все подтверждающие документы, как утверждали отправители, находились во вложении. Именно этот файл и становился точкой входа для атаки.
BrockenDoor: тихий шпион в системе
Во вложениях скрывался бэкдор BrockenDoor — разновидность трояна, позволяющая злоумышленникам получать удаленный доступ к зараженным компьютерам. После запуска вредоносное ПО собирало базовую информацию о системе: имя пользователя, параметры операционной системы, перечень файлов. Если данные представляли интерес, зараженный компьютер превращался в управляемый плацдарм для дальнейших атак.
Особую опасность представляет то, что подобные трояны могут использоваться не только для кражи информации, но и для развития атаки внутри корпоративной сети. В случае с медицинскими учреждениями это означает риск компрометации персональных данных пациентов, внутренней документации и даже критически важных медицинских информационных систем.
Иллюзия легитимности
Кампанию отличал высокий уровень правдоподобия. Злоумышленники регистрировали домены, визуально почти неотличимые от настоящих адресов страховых компаний и больниц, добавляя к названию слова вроде insurance, medical, health или policy. Многие такие домены существовали всего несколько дней, что позволяло обходить стандартные спам-фильтры и системы репутационного анализа.
В результате письма успешно проникали во входящие, а сотрудники, не ожидая подвоха, открывали вложения, действуя в рамках своих должностных обязанностей.
Возможный геополитический контекст
Эксперты отмечают, что BrockenDoor уже использовался в атаках на российские государственные структуры и объекты критической информационной инфраструктуры. Ряд специалистов связывает распространение этого вредоносного ПО с группировками, предположительно аффилированными с украинскими спецслужбами. Ранее аналогичные инструменты применялись против судебной системы и других чувствительных сегментов госсектора.
Хотя прямая атрибуция в киберпространстве всегда затруднена, выбор целей — государственные больницы и медицинские сети указывает на стратегический характер атак.
Закон, ответственность и репутационные риски
Медицинские организации в России обязаны соблюдать требования законодательства о безопасности критической информационной инфраструктуры. Это включает защиту ИТ-систем и обязательное уведомление ФСБ о выявленных инцидентах. Контроль за соблюдением этих норм осуществляют надзорные органы, включая прокуратуру.
Нарушения могут обернуться не только штрафами, но и серьезными репутационными потерями. Утечка данных пациентов, сбои в работе медицинских систем или факт использования инфраструктуры больницы в дальнейших атаках способны подорвать доверие к учреждению и привести к юридическим последствиям.
Показателен случай одной из районных больниц, где отсутствие штатного специалиста по кибербезопасности привело к судебному разбирательству. Суд обязал учреждение нанять профильного сотрудника, поскольку наличие такого специалиста прямо предусмотрено правительственными нормативами.
Почему медицина остается уязвимой
Основная проблема — нехватка ресурсов и кадров. Во многих больницах ИТ-инфраструктура развивается быстрее, чем система ее защиты. При этом персонал перегружен текущей работой и не всегда проходит регулярное обучение по вопросам цифровой безопасности.
Именно на это и рассчитывают злоумышленники. Врач или администратор, получивший письмо с жалобой пациента, стремится оперативно отреагировать, не проверяя технические детали отправления.
Что может снизить риски
Эксперты сходятся во мнении, что универсального решения не существует, но эффективна комбинация мер. Среди ключевых — регулярное обучение сотрудников основам кибергигиены, внедрение современных систем защиты электронной почты, доступ специалистов по ИБ к актуальной информации о киберугрозах и использование комплексных платформ, способных выявлять атаки на ранних стадиях.
В условиях, когда киберугрозы становятся все более изощренными, безопасность медицинских учреждений перестает быть исключительно ИТ-вопросом. Это уже элемент национальной безопасности и важная часть доверия между врачом и пациентом.
Атаки на больницы — тревожный сигнал. Цифровизация здравоохранения без адекватной защиты делает систему уязвимой. Пока хакеры совершенствуют методы социальной инженерии, медицинским учреждениям приходится учиться защищаться не только от вирусов и бактерий, но и от троянов — уже компьютерных.
И в этой борьбе решающим фактором остается не только технология, но и осознанность людей, которые каждый день открывают электронную почту, даже не подозревая, что одно письмо может стать началом серьезного инцидента.
