Антибиотики для хакеров

Количество хакерских атак организаций сферы здравоохранения с начала года увеличилось почти на четверть. Чаще всего злоумышленники атакуют фармацевтическую промышленность, на которую теперь приходится 40% всех инцидентов, но при этом все активнее похищаются и базы данных клиентов аптек. Внимание хакеров переключается на менее защищенные отрасли, уверены эксперты.

Выйти из полноэкранного режима

Развернуть на весь экран

В первом квартале 2025 года медучреждения вошли в топ-3 самых атакуемых сфер в России, наряду с госучреждениями и промышленными компаниями, рассказали “Ъ” эксперты Positive Technologies (PT). Динамика фиксируется с прошлого года, на который пришлось в полтора раза больше атак, чем в 2023 году. Конечными целями злоумышленников становятся персональные данные и получение выкупа.

Общее количество атак в первом квартале 2025 года на организации здравоохранения составило чуть меньше 2,4 тыс., добавляют эксперты RED Security SOC. По их оценке, это на 24% больше, чем в аналогичном периоде 2024 года. Больше всего атак с начала года — 40% пришлось на фармацевтические промышленные компании, тогда как в 2024 году их доля не превышала 10%.

Основной пик активности злоумышленников зафиксирован в январе 2025 года, когда медицинские организации столкнулись почти с половиной от общего числа атак за квартал.

Аналитики компании подчеркивают, что около 20% атак на медицинские учреждения в первом квартале носили критический характер. Рост атак на фармкомпании подтверждает и руководитель направления «Киберразведка» компании «Бастион» Константин Ларин. По его данным, в прошлом году их количество выросло на 30–35%.

Атаки на фармкомпании руководитель центра Threat Intelligence компании RED Security Ильназ Гатауллин связывает с расширением спектра внимания хакеров: «Они смещают фокус на те отрасли, которые в среднем менее защищены». Атаки вымогателей — одна из основных угроз для медицинских учреждений, добавляет аналитик исследовательской группы PT Анна Вяткина. «Такие атаки могут вызвать нарушения в работе предприятий, что рискует привести к серьезным последствиям, например, перебоям в поставках лекарств в аптеки»,— добавляет она. В части кражи сведений злоумышленников интересуют как персональные данные клиентов, сотрудников и партнеров жертв, так и их медицинская информация.

Так как атакующими выступают не только независимые акторы, но и прогосударственные группировки, дополнительными целями злоумышленников становились шпионаж и нанесение репутационного ущерба, отмечают эксперты департамента киберразведки компании F6. Среди группировок они называют Lazy Koala, Hellhounds и Sticky Werewolf. Последняя использовала в качестве документов-приманок маскировку под анализ работ хирургических отделений одного из медицинских центров, под заявки и путевки в санатории и приглашения на медицинские конференции.

Кроме атак на фармкомпании ИБ-компании фиксируют рост внимания хакеров к аптечным сетям. За 2024 год эксперты F6 зафиксировали несколько опубликованных баз данных интернет-аптек и медицинских клиник. Также осенью на специализированных форумах было опубликовано объявление о продаже доступа к серверам одной крупной сети российских аптек с уровнем привилегий администратора, а также базы данных, содержащей порядка 1,2 млн записей о клиентах (в том числе содержащих ФИО, телефонные номера, адреса электронной почты, хэшированные пароли, даты рождения, пол, информация о заказах и временные метки).

Описывать конкретные инциденты руководитель управления технической инфраструктуры сети клиник «Будь здоров» Алексей Вашуков отказался, сославшись на внутренние регламенты, но отметил, что в 2025 году атаки на медучреждения стали более изощренными. С тем, что киберугрозы для медицинских учреждений сегодня становятся все более многоуровневыми, соглашается и директор по коммуникациям сети «Клиника Фомина» Александр Милых. По его словам, регулярно фиксируются попытки внешнего проникновения, но «серьезных инцидентов у компании не было».

Филипп Крупанин, Виктория Колганова