На десятки медицинских учреждений в России была осуществлена волна целевых вредоносных рассылок, об этом сообщили эксперты по кибербезопасности. В конце 2025 года злоумышленники отправляли им электронные письма от имени известных страховых компаний либо больниц. Во вложениях таких рассылок скрывался бэкдор, который позволяет атакующим управлять зараженным компьютером жертвы. Подробности о том, почему хакеры нацелились на российские медучреждения, чем опасна эта тенденция и как бороться с ней, читайте в материале «Известий».
Что известно о хакерских атаках на российские медучреждения
О том, что в конце 2025 года на десятки медицинских учреждений в России была осуществлена волна целевых вредоносных рассылок, «Известиям» сообщили в «Лаборатории Касперского». В письмах сообщается, что некий клиент недоволен лечением в больнице-адресате в рамках добровольного медицинского страхования и подает претензию, а все подтверждающие документы якобы можно найти во вложении. Организации предлагают «мирно уладить ситуацию».
«В некоторых сообщениях применяется другая легенда: они написаны якобы от лица медучреждений и содержат просьбу к организации-адресату срочно принять некоего пациента для прохождения специализированного лечения. Вероятно, злоумышленники продолжат придумывать новые предлоги, чтобы убедить жертву открыть вложение», — сообщили эксперты компании.
В письмах, которые получают атакованные, содержатся архивы с вредоносным программным обеспечением (ПО) BrockenDoor. Этот бэкдор был впервые обнаружен в кибератаках в конце 2024 года. После установки на компьютер жертвы зловред может связываться с сервером злоумышленников и отправлять им различную информацию, например, имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она кажется им интересной, бэкдор получает команды для запуска дальнейших сценариев атаки.
Чем российские медучреждения интересны киберпреступникам
Согласно данным центра исследования киберугроз Solar 4RAYS ГК «Солар», за неполный 2025 год доля заражений вредоносным программным обеспечением (ВПО) в организациях здравоохранения составила 17%. При этом во втором и третьем кварталах почти 20% всех срабатываний, связанных с заражением майнерами, зафиксированы в сетях именно медицинских организаций.
Медицинские учреждения — крайне привлекательная цель для многих киберпреступников: от хакеров-одиночек до финансово мотивированных группировок, говорит в беседе с «Известиями» аналитик исследовательской группы Positive Technologies Анастасия Осипова. Это связано как с ценностью обрабатываемой информации, так и с особенностями работы организаций из сферы здравоохранения.
— Одна из главных причин — высокая ценность медицинских данных, которые содержат сведения о состоянии здоровья, результаты анализов и другие конфиденциальные данные, — рассказывает эксперт. — Получив доступ к этой информации, злоумышленники могут использовать ее для мошенничества или шантажа.
По словам Анастасии Осиповой, особенно опасны утечки информации о расстройствах психики, зависимостях и других стигматизированных состояниях. Такие утечки данных подрывают доверие к цифровизации здравоохранения. Кроме того, медицинские учреждения — это сфера, где в силу специфики консервативно относятся к обновлению ПО (так как неудачное обновление может вывести из строя медицинское оборудование), а многие компьютеры и серверы работают круглосуточно, отмечают эксперты Solar 4RAYS.
Это идеальные условия для тех же майнеров, которые могут годами незаметно паразитировать на доступных вычислительных мощностях. Наконец, немалую роль играет высокая социальная значимость организаций из данной отрасли, от стабильности работы которых напрямую зависит безопасность граждан, подчеркивают специалисты.
Каких кибератак на медучреждения ждать в 2026 году
В 2026 году хакеры продолжат DDoS-атаки на медицинские учреждения, но они станут более точечными, нацеленными на вывод из работы конкретных сервисов, прогнозирует руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин. Подобный тренд ранее фиксировался и в других сферах — такие инциденты сложнее обнаружить из-за их многоуровневой структуры.
— Медицинские учреждения хранят большие массивы чувствительной информации, поэтому злоумышленники всё чаще прибегают к программам-вымогателям для шантажа, — рассказывает собеседник «Известий». — Попадая в систему через фишинг или уязвимость, такая программа шифрует данные — пользователи теряют к ним доступ.
Далее хакеры требуют выкуп, чтобы эти сведения не были опубликованы. Подобные атаки угрожают не только сохранности личной информации пациентов и сотрудников, но и здоровью людей, подчеркивает Виталий Фомин. К новой волне кибератак также может привести оперативный переход на отечественное ПО и оборудование, дополняет инженер-аналитик компании «Газинформсервис» Ирина Дмитриева.
По словам эксперта, в процессе замены решений высок риск допустить ошибку в конфигурации или пропустить новую уязвимость в компоненте ПО. Сложность этого этапа, через который приходится проходить всей критической инфраструктуре, сокрыта в необходимости провести бесшовное импортозамещение, которое в бешеных темпах может повлечь сбои, ошибки и мисконфигурации.
— В то же время медицинские системы стремятся к объединению, — отмечает Ирина Дмитриева. — Подобные крупные единые базы могут заинтересовать злоумышленников, поскольку в них много ценных категорий данных, котируемых для продажи и шантажа.
В случае если медицина начнет активно применять ИИ для диагностики, это может позволить хакерам проводить полноценные атаки на ИИ-модели, например, через «отравление» данных, предупреждает эксперт. Всё это может привести к постановке неверного диагноза пациенту, если диагност или врач доверит верификацию диагноза системе.
Кроме того, по словам руководителя управления облачных решений кибербезопасности BI.ZONE Дмитрия Царева, с начала 2026 года BI.ZONE Mail Security фиксирует серию однотипных почтовых атак на медицинские организации. Злоумышленники рассылают сообщения от имени технической поддержки, сообщая о якобы блокировке корпоративной почты сотрудника и необходимости срочно восстановить доступ. Такие письма имитируют служебные уведомления и апеллируют к чувству срочности, отмечает эксперт.
Как защититься от кибератак на медучреждения в России
Киберустойчивость медицинских учреждений наряду с устойчивостью и непрерывностью важнейших функций государства необходимо выстраивать комплексно, говорит в беседе с «Известиями» руководитель группы по взаимодействию с государственным сектором Innostage Динар Мулюков. Защита в первую очередь должна идти изнутри через инструменты кибергигиены сотрудников, заканчивая продвинутыми инструментами непрерывной оценки киберустойчивости в виде открытых кибериспытаний и Bag Bounty (охоты за уязвимостями), считает эксперт.
— Комплекс мероприятий для защиты медицинских учреждений включает в себя выстраивание полноценной системы информационной безопасности, внедрение систем мониторинга и оперативного реагирования на инциденты (SOC/SIEM), установку средств защиты информации (СЗИ) и проведение регулярных работ по всем аналогичным направлениям, — дополняет начальник отдела по информационной безопасности компании «Код Безопасности» Алексей Коробченко.
По словам эксперта по киберразведке Angara MTDR Валерии Воробей, СЗИ для обеспечения базового уровня защиты необходимо использовать на рабочих станциях и серверах, а также соблюдать принцип минимальных привилегий для учетных записей сотрудников и регулярно проводить инвентаризацию, пересмотр прав. Обновления ОС и прикладного ПО важно выполнять своевременно, при этом критические уязвимости закрывать в первую очередь.
Для снижения рисков фишинговых атак следует настроить защиту почты и многофакторную аутентификацию для ключевых систем, а также повышать осведомленность персонала в области ИБ. Рекомендуется иметь резервные копии и план восстановления инфраструктуры, чтобы пережить инциденты без критических последствий, заключает эксперт.