"Лаборатория Касперского": компании РФ атаковали инструментом для пентестов Ravage

Эксперты выявили ранее неизвестную группировку, которая атакует российские организации с помощью инструмента Ravage, изначально предназначенного для тестирования на проникновение специалистами по информационной безопасности. Среди целей злоумышленников оказались учебные заведения, энергетические компании, а также государственные, дипломатические и финансовые учреждения. Преступники начали использовать Ravage в январе 2026 года. Об этом "Газете.Ru" сообщили в пресс-службе компании "Лаборатория Касперского".

Для первоначального проникновения атакующие рассылают на корпоративную почту фишинговые письма с вредоносными архивами. Вложения маскируются под Excel-документы, например списки товаров для проверки или формы для заполнения, а в названиях могут использоваться реальные организации. На самом деле такие файлы представляют собой замаскированные расширения для Microsoft Excel. После открытия запускается цепочка загрузки вредоносных компонентов, которая в конечном итоге приводит к установке Ravage через PowerShell-скрипт, загружаемый со взломанного сайта.

Фреймворк Ravage появился на GitHub в сентябре 2025 года как инструмент для специалистов по информационной безопасности. Однако уже через несколько месяцев его начали применять злоумышленники. До этого группировка использовала известные вредоносные программы, распространяемые по модели Malware-as-a-Service, включая PureRAT и RedLine.

По оценке исследователей, за последние 12 месяцев около половины зафиксированных атак пришлись на российские учебные заведения. Наиболее часто злоумышленники интересовались организациями, связанными с морским, речным, водным и рыбохозяйственным транспортом. Также атакам подвергались компании энергетического сектора и государственные структуры.

Анализ показал, что группировка действует как минимум с 2024 года. При этом атаки происходят относительно редко, что может свидетельствовать о наличии опыта и постепенной отработке сценариев проникновения.

Как отметил эксперт по кибербезопасности "Лаборатории Касперского" Олег Купреев, по своим возможностям Ravage напоминает инструменты удаленного доступа. Он позволяет загружать и удалять файлы, запускать процессы и PowerShell-скрипты, делать снимки экрана, а также выполнять команды на компьютерах локальной сети через SMB и WMI. При этом инструмент не способен получать сохраненные пароли, токены, тикеты доступа или создавать скрытые каналы управления внутри зараженной инфраструктуры.