Злоумышленники рассылают электронные письма с вредоносными вложениями, чтобы получить доступ к устройствам жертв
«Лаборатория Касперского» обнаружила волну целевых вредоносных рассылок на десятки медицинских учреждений в России. В конце 2025 года злоумышленники отправляли им электронные письма от имени известных страховых компаний либо больниц. Во вложениях таких рассылок скрывался бэкдор, который позволяет атакующим управлять заражённым компьютером жертвы. Такие данные «Лаборатория Касперского» представила на пресс-конференции, посвящённой итогам 2025 года и прогнозам на 2026-й.
Легенды. В письмах сообщается, что некий клиент недоволен лечением в больнице-адресате в рамках добровольного медицинского страхования и подаёт претензию, а все подтверждающие документы якобы можно найти во вложении. Организации предлагают «мирно уладить ситуацию». В некоторых сообщениях применяется другая легенда: они написаны якобы от лица медучреждений и содержат просьбу к организации-адресату срочно принять некоего пациента для прохождения специализированного лечения. Вероятно, злоумышленники продолжат придумывать новые предлоги, чтобы убедить жертву открыть вложение.
Рассылка выглядит правдоподобно: злоумышленники используют домены электронной почты, которые содержат названия реальных страховых компаний или учреждений здравоохранения, но к ним добавлены другие слова. Например, на медицинскую тему, такие как insurance или medical. Домены, с которых приходят такие письма, были зарегистрированы незадолго до их использования в рассылках.
Чем заражают. В письмах, которые получают атакованные, содержатся архивы с вредоносным ПО BrockenDoor. Этот бэкдор был впервые обнаружен в кибератаках в конце 2024 года. После установки на компьютер жертвы зловред может связываться с сервером злоумышленников и отправлять им различную информацию, например имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она кажется им интересной, бэкдор получает команды для запуска дальнейших сценариев атаки.
«Атаки часто начинаются с рассылки электронных писем, это один из действенных методов проникнуть в системы организации. В данном случае злоумышленники берут жертв на крючок тем, что используют темы, связанные со служебными обязанностями получателей. Атакующие рассчитывают на их необдуманные действия, ведь работники должны оперативно реагировать на поступившие жалобы, — комментирует Анна Лазаричева, спам-аналитик в „Лаборатории Касперского“. — Злоумышленники постоянно ищут новые способы обхода защитных решений, поэтому стоит непрерывно повышать уровень осведомлённости о цифровой безопасности в коллективе. Если сотрудники будут знать о существовании подобных приманок и техник и с осторожностью относиться к входящим сообщениям, это значительно повысит киберустойчивость организации».
«По нашим данным, в 2025 году число кибератак на организации с применением бэкдоров выросло на 61% по сравнению с 2024-м. Такие зловреды используются для скрытого управления скомпрометированной системой, включая дальнейшее заражение и распространение по сети. В кампаниях кибершпионажа они, например, позволяют красть конфиденциальные документы и другую внутреннюю корпоративную информацию. В дальнейшем атакующие могут использовать извлечённые данные в качестве инструмента шантажа либо перепродавать их третьим лицам, — комментирует Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследований и анализа угроз „Лаборатории Касперского“) в России. — Чтобы не допустить заражение бэкдором и другим вредоносным ПО, важно в том числе доносить до сотрудников необходимость очень внимательно относиться к любым поступающим заявкам, даже если они составлены по всем канонам деловой переписки».
Чтобы защититься от подобных атак, «Лаборатория Касперского» рекомендует организациям:
- обучать сотрудников основам кибербезопасности. В этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;
- использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus;
- предоставлять ИБ-специалистам доступ к данным о киберугрозах Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур злоумышленников;
- делать выбор в пользу комплексных продуктов, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.
