Хакеры используют легальный софт Ravage для атак на госсектор РФ

Неизвестная группировка взяла на вооружение инструмент Ravage, созданный для тестирования киберзащиты, и начала применять его против российских организаций. С января 2026 года под прицелом хакеров оказались энергетические компании, вузы и государственные ведомства, которые злоумышленники атакуют через фишинговые рассылки, маскирующиеся под деловую документацию и формы отчетности для корпоративных пользователей.

Схема проникновения строится на рассылке писем с вредоносными архивами, которые имитируют документы Excel. После открытия файла запускается цепочка загрузки, устанавливающая Ravage через PowerShell-скрипты, размещенные на взломанных ресурсах. Сам фреймворк появился в открытом доступе на GitHub в сентябре 2025 года, но преступники переключились на него после работы с известными программами вроде PureRAT и RedLine.

По данным «Лаборатории Касперского», около половины всех инцидентов за последний год затронули образовательные учреждения. Особый интерес хакеры проявляют к сектору водного транспорта, энергетике и дипмиссиям. Группировка действует избирательно и методично, что указывает на высокую квалификацию исполнителей.

Эксперт Олег Купреев уточняет, что Ravage работает как инструмент удаленного управления: он позволяет запускать процессы, делать снимки экрана и выполнять команды внутри локальной сети через SMB и WMI. При этом функционал программы ограничен — она не крадет пароли или токены доступа, что отличает ее от типичных шпионских троянов.