Эксперты по кибербезопасности «Лаборатории Касперского» выявили новую кибергруппировку, нацеленную на российские организации, включая учебные заведения и энергетические компании. Ключевой особенностью атак является использование фреймворка Ravage — инструмента, изначально предназначенного для пентестов, но применяемого злоумышленниками для удалённого управления системами.
Атаки, начавшиеся в январе 2026 года, используют фишинговые письма с вредоносными архивами. Внутри находятся файлы, маскирующиеся под документы Excel. При их открытии запускается загрузчик, который скачивает и активирует компоненты вредоносного ПО, в конечном итоге загружая Ravage через скрипт PowerShell.
Эксперт по кибербезопасности Олег Купреев пояснил:
По своим возможностям Ravage похож на инструменты удалённого доступа (Remote Access Tool). Фреймворк способен выполнять файловые манипуляции — выгружать, скачивать, копировать и удалять, запускать процессы и выполнять внутри себя PowerShell-скрипты, полученные с сервера злоумышленников. Также Ravage может делать скриншоты и выполнять команды на компьютерах локальной сети через SMB или WMI. Всё это относится к базовой функциональности, а вот получать тикеты, токены, сохранённые пароли, а также создавать скрытые каналы управления внутри заражённой сети он не умеет
За последний год половина зафиксированных атак пришлась на российские учебные заведения, в основном связанные с водным транспортом. Также пострадали организации из энергетической, государственной и финансовой сфер. По данным исследования, группировка активна как минимум с 2024 года и действует планомерно, что говорит о наличии у её участников опыта.