✔Хакеры атакуют организации в РФ с помощью инструмента для пентестов Ravage - «Новости»

02 июня 2026 0 Новости / Заработок / Преимущества стилей / Изображения / Формы / Списки / Самоучитель CSS / Отступы и поля 0

Исследователи отмечают, что Ravage появился в открытом доступе в сентябре 2025 года, а уже в январе 2026-го его начали применять в реальных атаках. При этом обнаруженная хак-группа активна как минимум с 2024 года. По данным экспертов, раньше атакующие использовали другие инструменты (включая RedLine, PureRAT и даже Cobalt Strike).

Для первоначального проникновения злоумышленники рассылают фишинговые письма на корпоративные адреса. Вложения маскируются под документы Microsoft Excel: списки товаров, формы для заполнения и другие рабочие файлы. Для правдоподобности в названиях могут фигурировать реальные организации.

На самом деле жертве присылают XLL-файл. Если открыть его, запускается Excel, после чего в систему загружается вредоносная библиотека. Далее цепочка заражения приводит к скачиванию дополнительных компонентов с взломанного сайта. Один из них представляет собой биндер для доставки известных бэкдоров и стилеров, включая PureRAT. Второй запускает PowerShell-скрипт, который в конечном итоге загружает Ravage.

По словам исследователей, по своим возможностям Ravage скорее напоминает обычный инструмент удаленного доступа, чем полноценный фреймворк для постэксплуатации. Он позволяет загружать и выгружать файлы, запускать процессы, выполнять PowerShell-скрипты, делать скриншоты и выполнять команды на других компьютерах локальной сети через SMB или WMI.

При этом возможности инструмента ограничены. В отличие от более продвинутых решений, Ravage не умеет извлекать тикеты, токены и сохраненные пароли, а также не поддерживает создание скрытых каналов управления внутри скомпрометированной сети.

За последние 12 месяцев более половины атак новой, пока безымянной группы пришлось на российские образовательные учреждения. Причем около 80% таких организаций связаны с морским, речным и рыбохозяйственным направлениями, а также подготовкой кадров для транспортной отрасли. Кроме того, атакам подвергались компании энергетического сектора, финансовые организации, госструктуры и дипломатические учреждения.

Отмечается, что группировка действует не слишком активно и может надолго исчезать из поля зрения. Иногда злоумышленники делают перерывы на несколько месяцев, а затем проводят серию атак за короткий срок. По мнению исследователей, такая тактика свидетельствует о том, что за атаками стоит сформировавшаяся группа с опытом и собственными отработанными сценариями проникновения.

Специалисты «Лаборатории Касперского» обнаружили ранее неизвестную группировку, которая атакует российские организации с помощью Ravage — фреймворка для пентестов, опубликованного на GitHub осенью прошлого года. Среди целей злоумышленников оказались учебные заведения, энергетические компании, государственные структуры, дипломатические представительства и финансовые организации. Исследователи отмечают, что Ravage появился в открытом доступе в сентябре 2025 года, а уже в январе 2026-го его начали применять в реальных атаках. При этом обнаруженная хак-группа активна как минимум с 2024 года. По данным экспертов, раньше атакующие использовали другие инструменты (включая RedLine, PureRAT и даже Cobalt Strike). Для первоначального проникновения злоумышленники рассылают фишинговые письма на корпоративные адреса. Вложения маскируются под документы Microsoft Excel: списки товаров, формы для заполнения и другие рабочие файлы. Для правдоподобности в названиях могут фигурировать реальные организации. На самом деле жертве присылают XLL-файл. Если открыть его, запускается Excel, после чего в систему загружается вредоносная библиотека. Далее цепочка заражения приводит к скачиванию дополнительных компонентов с взломанного сайта. Один из них представляет собой биндер для доставки известных бэкдоров и стилеров, включая PureRAT. Второй запускает PowerShell-скрипт, который в конечном итоге загружает Ravage. По словам исследователей, по своим возможностям Ravage скорее напоминает обычный инструмент удаленного доступа, чем полноценный фреймворк для постэксплуатации. Он позволяет загружать и выгружать файлы, запускать процессы, выполнять PowerShell-скрипты, делать скриншоты и выполнять команды на других компьютерах локальной сети через SMB или WMI. При этом возможности инструмента ограничены. В отличие от более продвинутых решений, Ravage не умеет извлекать тикеты, токены и сохраненные пароли, а также не поддерживает создание скрытых каналов управления внутри скомпрометированной сети. За последние 12 месяцев более половины атак новой, пока безымянной группы пришлось на российские образовательные учреждения. Причем около 80% таких организаций связаны с морским, речным и рыбохозяйственным направлениями, а также подготовкой кадров для транспортной отрасли. Кроме того, атакам подвергались компании энергетического сектора, финансовые организации, госструктуры и дипломатические учреждения. Отмечается, что группировка действует не слишком активно и может надолго исчезать из поля зрения. Иногда злоумышленники делают перерывы на несколько месяцев, а затем проводят серию атак за короткий срок. По мнению исследователей, такая тактика свидетельствует о том, что за атаками стоит сформировавшаяся группа с опытом и собственными отработанными сценариями проникновения.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.