Количество атак на сферу здравоохранения выросло на четверть с начала года

Яков Шпунт 24 Апреля 2025 - 09:49

Общее

Positive Technologies

RED Security

Программы-вымогатели

Программы-шифровальщики

Утечки информации

Умышленные утечки информации

Кража данных

...

Количество атак на сферу здравоохранения выросло на четверть с начала года

Количество кибератак на сферу здравоохранения, а также смежные области — фармацевтическую промышленность и аптечную розницу — с начала 2025 года выросло почти на четверть. На эти секторы приходится до 40% всех зафиксированных инцидентов.

По мнению экспертов, опрошенных «Коммерсантом», причина в слабой защищённости отрасли.

Согласно данным Positive Technologies, здравоохранение вошло в тройку самых атакуемых сфер наряду с государственными учреждениями и промышленностью. В 2024 году число атак увеличилось в 1,5 раза, и эта тенденция сохранялась в первом квартале 2025 года. Основные цели злоумышленников — кража персональных и медицинских данных, а также вымогательство.

Аналитик исследовательской группы Positive Technologies Анна Вяткина назвала вымогательство ключевой угрозой для отрасли:

«Подобные атаки могут нарушить работу медицинских организаций, что может привести к серьёзным последствиям, вплоть до сбоев в поставках лекарств в аптеки».

По статистике RED Security SOC, в первом квартале 2025 года было зафиксировано около 2400 атак на организации в сфере здравоохранения — это на 24% больше, чем за тот же период 2024 года. Причём каждая пятая атака была признана критичной.

Особенно заметен рост атак на фармацевтические компании: на них пришлось 40% всех инцидентов, тогда как годом ранее эта доля была в четыре раза меньше. Пик активности киберпреступников пришёлся на январь. Руководитель центра Threat Intelligence компании RED Security Ильназ Гатауллин также отметил, что причиной остаётся низкий уровень киберзащиты в отрасли.

Специалисты департамента киберразведки компании F6 обращают внимание на активность прогосударственных кибергруппировок, таких как Lazy Koala, Hellhounds и Sticky Werewolf. Их основными задачами являются шпионаж и нанесение репутационного ущерба организациям.

Кроме того, в F6 фиксируют растущий интерес киберпреступников к аптечным сетям. В начале 2025 года данные, украденные у нескольких интернет-аптек и частных клиник, появились на тематических ресурсах. Осенью 2024 года в даркнете было обнаружено объявление о продаже доступа в корпоративную сеть одной из российских аптечных сетей с правами администратора, а также база данных с информацией о 1,2 млн клиентов.

Представители двух сетей клиник подтвердили, что атаки в 2025 году стали заметно более сложными и изощрёнными.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 28 Января 2026 - 12:40

Windows Эксплойты Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Google

Уязвимость WinRAR стала массовым орудием киберпреступников

Уязвимость в WinRAR, о которой стало известно ещё летом, оказалась куда популярнее, чем ожидалось. По данным Google Threat Intelligence Group (GTIG), брешь активно используют сразу несколько группировок — от государственных APT до обычных киберпреступников, работающих «за процент».

Речь идёт о серьёзной ошибке класса path traversal (выход за пределы рабочего каталога) под идентификатором CVE-2025-8088, связанной с механизмом Alternate Data Streams (ADS) в Windows.

С её помощью злоумышленники могут незаметно записывать вредоносные файлы в произвольные каталоги системы — например, в папку автозагрузки, обеспечивая себе устойчивость после перезагрузки компьютера.

Изначально уязвимость обнаружили исследователи ESET. В начале августа 2025 года они сообщили о соответствующих кибератаках группировки RomCom. Однако свежий отчёт Google показывает: эксплуатация началась ещё 18 июля 2025 года и продолжается до сих пор, причём сразу несколькими типами атакующих.

Схема атаки обычно выглядит так: в архиве WinRAR прячется безобидный файл-приманка — например, PDF-документ. При этом внутри того же архива через ADS скрываются дополнительные данные, включая вредоносную нагрузку.

Пользователь открывает «документ», а WinRAR в фоновом режиме извлекает скрытый файл с обходом путей и сохраняет его в нужное атакующему место. Часто это LNK, HTA, BAT, CMD или скрипты, которые запускаются при входе в систему.

Среди правительственных кибергрупп, замеченных Google за эксплуатацией CVE-2025-8088, — целый «звёздный состав»:

UNC4895 (RomCom/CIGAR) рассылала фишинговые письма украинским военным и доставляла загрузчик NESTPACKER (Snipbot).
APT44 (FROZENBARENTS) использовала вредоносные ярлыки и украиноязычные приманки для загрузки дополнительных компонентов.
TEMP.Armageddon (CARPATHIAN) до сих пор применяет HTA-загрузчики, оседающие в автозапуске.
Turla (SUMMIT) распространяла свой набор инструментов STOCKSTAY, маскируя атаки под материалы для ВСУ.

Также зафиксированы китайские группировки, которые применяли эксплойт для доставки POISONIVY через BAT-файлы.

Но на этом всё не заканчивается. GTIG отмечает, что уязвимость активно используют и финансово мотивированные злоумышленники. Через WinRAR они распространяют популярные трояны и стилеры — XWorm, AsyncRAT, бэкдоры под управлением Telegram-ботов, а также вредоносные расширения для браузера Chrome, ориентированные на банковские данные.

По оценке Google, большинство атакующих не писали эксплойт сами, а просто купили готовое решение у специализированных продавцов. Один из таких поставщиков, известный под псевдонимом «zeroplayer», рекламировал рабочий эксплойт для WinRAR ещё летом.

Причём это далеко не единственный его «товар»: ранее он предлагал 0-day для Microsoft Office, удалённое выполнение кода в корпоративных VPN, локальное повышение привилегий в Windows и даже обходы средств защиты — по ценам от 80 до 300 тысяч долларов.