Эксперты выявили ранее неизвестную группировку, которая атакует российские организации с помощью инструмента Ravage, изначально предназначенного для тестирования на проникновение специалистами по информационной безопасности. Среди целей злоумышленников оказались учебные заведения, энергетические компании, а также государственные, дипломатические и финансовые учреждения. Преступники начали использовать Ravage в январе 2026 года. Об этом «Газете.Ru» сообщили в пресс-службе компании «Лаборатория Касперского».
Для первоначального проникновения атакующие рассылают на корпоративную почту фишинговые письма с вредоносными архивами. Вложения маскируются под Excel-документы, например списки товаров для проверки или формы для заполнения, а в названиях могут использоваться реальные организации. На самом деле такие файлы представляют собой замаскированные расширения для Microsoft Excel. После открытия запускается цепочка загрузки вредоносных компонентов, которая в конечном итоге приводит к установке Ravage через PowerShell-скрипт, загружаемый со взломанного сайта.
Фреймворк Ravage появился на GitHub в сентябре 2025 года как инструмент для специалистов по информационной безопасности. Однако уже через несколько месяцев его начали применять злоумышленники. До этого группировка использовала известные вредоносные программы, распространяемые по модели Malware-as-a-Service, включая PureRAT и RedLine.
По оценке исследователей, за последние 12 месяцев около половины зафиксированных атак пришлись на российские учебные заведения. Наиболее часто злоумышленники интересовались организациями, связанными с морским, речным, водным и рыбохозяйственным транспортом. Также атакам подвергались компании энергетического сектора и государственные структуры.
Анализ показал, что группировка действует как минимум с 2024 года. При этом атаки происходят относительно редко, что может свидетельствовать о наличии опыта и постепенной отработке сценариев проникновения.
Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Олег Купреев, по своим возможностям Ravage напоминает инструменты удаленного доступа. Он позволяет загружать и удалять файлы, запускать процессы и PowerShell-скрипты, делать снимки экрана, а также выполнять команды на компьютерах локальной сети через SMB и WMI. При этом инструмент не способен получать сохраненные пароли, токены, тикеты доступа или создавать скрытые каналы управления внутри зараженной инфраструктуры.
Ранее «Лаборатория Касперского» раскрыла новую мошенническую схему с предложением о работе.
