Пророссийские хакеры взломали украинскую сеть клиник MamaPapa
Хакеры из группировок "Смешарики" и Perunswaroga взломали украинские клиники ДНК-тестирования MamaPapa. Об этом SecPost сообщил сам представитель группировок, подробно описав метод атаки. Хакерам, по его словам, удалось выгрузить около 73Гб персональных данных. Эксперты считают, что атаки на клиники размывают нормы этики. Кибернападения на российские клиники также выросли в разы.
Медицинская карта общего доступа
Пророссийские хакеры из группировок «Смешарики» и Perunswaroga взломали серверы украинской сети клиник MamaPapa и скопировали более 73Гб персональных данных клиентов, в том числе копии паспортов, результаты анализов и т.п., сообщил SecPost представитель группировок. По его словам, клиника насчитывает около 25 центров по всей Украине. На сайте клиники MamaPapa также указано, что сайт заблокировала пророссийская группировка «Смешарики», однако сам центр продолжает работать.
Вместе с тем, по заявлению представителя «Смешариков», было обнаружено, что украинская сеть клиник связана казахстанской клиникой DDC, к ресурсам которой также был получен доступ.
SecPost направил запрос в клинику MamaPapa и DDC.
В конце декабря SecPost сообщал, что группировки Perunswaroga и «Смешарики» взломали и выложили в сеть персональные данные клиентов украинского сервиса для участников боевых действий. Данные, по утверждению хакеров, актуальны на конец 2025 года.
«Недавние действия служб Украины по минированию улиц купюрами, атаки дронов на мирное население и другие их действия — все это наталкивало нас пересмотреть наши принципы работы, раньше мы не атаковали медицинские учреждения, мы не хотели вредить народу, но нам ничего не оставалось», — заявил SecPost представитель группировки.
Хакеры обнаружили сразу несколько уязвимостей в системе клиники MamaPapa, продолжает представитель группировки, а именно: авторизации в панелях управления, множественные XSS уязвимости типа Reflected, SQLi. «Их системные администраторы хранили пароли в незашифрованном виде, а еще использовали их везде, так и получили доступ к их лаборатории, там мы и нашли другие данные», — говорит он.
Диспетчерские звонки клиники MamaPapa, источник: группировка «Смешарики»
Далее «Смешарики» использовали метод Reverse Shell для получения удалённого контроля над системой, удалили бекапы лаборатории, скопировали к себе их документы, среди которых копии паспортов, их почтовые адреса, номера телефонов, внутренние базы данных MySQL и др. Также была взломана диспетчерская, где были скопированы истории разговоров с клиентами.
«После окончания нашей работы были удалены файлы с их серверов, компания признала атаку на их систему, а лаборатория не работает до сих пор. Мы уважаем их выбор, очень мало компаний готовы признать свои ошибки, поэтому наша группа позволила им потихоньку восстанавливаться», — говорит представитель «Смешариков». По его словам, атака нанесла «критический» ущерб и хакерам удалось скопировать около 100 тыс. папок с паспортами украинских граждан, которые группировка намерена использовать в «своих интересах».
Один из скриншотов, поступивших в редакцию SecPost от группировки «Смешарики»
Этики больше нет
На российские клиники также увеличивается количество кибератак. Как сообщал SecPost, только на систему здравоохранения Московской области в 2025 году было зафиксировано в 7,5 раз больше атак, чем годом ранее. При этом сами медорганизации оказались не готовы к активному вниманию хакеров: угрозы для систем здравоохранения создают трудности с обновлением импортного ПО, нехватка специалистов по ИБ и риски проникновения в ИТ-инфраструктуру через подрядчиков.
В Минздраве и Минцифры не ответили на запрос SecPost.
Атаки на сферу здравоохранения в России проводят разные типы хакеров – как с целью шпионажа, так и с целью деструктивного воздействия и получения финансовой выгоды, делится мнением представитель департамента киберразведки (Threat Intelligence) компании F6. «Это не связано с какими-либо «ответами» на атаки: в нынешних геополитических условиях разные злоумышленники стремятся атаковать всё, до чего смогут дотянуться. Чем больше ущерб и последствия от атаки, тем привлекательнее для них выглядит цель», — подчеркнул он. В сфере здравоохранения России в 2025 году были подвержены атакам не только клиники, но и аптечные сети, компании, работающие в сфере медицинского страхования, санатории, дистрибьюторы медицинской техники и другие, дополнил он.
По его словам, взлом и остановка систем клиник может нанести значительный ущерб, поскольку приведет к невозможности проводить записи, приемы и даже операции. «Учитывая, что многие частные клиники ориентируются на прибыль и не вкладывают достаточно средств в защиту, они становятся относительно легкой мишенью для атакующих», — уточнил эксперт F6.
По мнению председателя совета по противодействию технологическим правонарушениям координационного совета негосударственной сферы безопасности России (КС НСБ) Игоря Бедерова, в условиях гибридного противостояния медицинские учреждения, особенно частные, превратились в одну из приоритетных целей.
«Российские медицинские организации, как государственные, так и частные, уже находятся в зоне активных кибератак, риск ответных действий со стороны украинских хакеров — не гипотетический, а подтвержденный практикой», — говорит он, напоминая, что в конце 2025 года проукраинские хакеры рассылали письма, маскируясь под страховые компании или другие больницы, с вложениями, содержащими троян BrockenDoor, позволяющий злоумышленникам получать полный контроль над зараженным компьютером.
Также, продолжает Бедеров, в январе 2026 года другая проукраинская хакерская группировка 4B1D атаковала частную клинику «Лекардо» в Чувашии: «Хакеры заявили, что получили доступ к сети через скомпрометированный аккаунт директора, после чего уничтожили серверы, резервные копии и похитили данные около 52 тыс. пациентов, часть из которых была выставлена на продажу в даркнете».
Медицинские карты, паспортные данные, истории болезней и результаты анализов — это не только врачебная тайна, но и товар, стоящий на теневом рынке дороже, чем данные банковских карт, продолжает Бедеров. По его словам, эти сведения используются для шантажа, целевого мошенничества или продажи: «Лечебные учреждения используют разнородное оборудование — от серверов с базами данных до диагностических аппаратов, подключенных к сети. Каждое такое устройство — потенциальная точка входа».
Также, заключил он, методы работы группировки «Смешарики» и Perunswaroga указывают на серьезную подготовку хакеров: «Их работа в альянсах типична для современного хактивизма и повышает их оперативные возможности». Однако, считает Бедеров, инцидент с атакой на медицинские клиники стирает этические границы, переводя больницы и клиники из условно «запретной» зоны в разряд допустимых целей в киберконфликтах.
