Выберите отрасль

ИТ-технологииИИ (AI)КибербезопасностьБизнесУстройстваФинансыОбществоТорговляРазвлеченияАвтоМедицинаПромышленностьТранспортТуризмПередовые технологииНедвижимостьЭнергетика
Май 2026   |   В фокусе

Ravage: 50% атак на вузы и энергетику РФ маскируются под легальные проверки безопасности

Киберпреступники используют легальный инструмент для тестирования безопасности, чтобы маскировать атаки под внутренние проверки и обходить фильтры. Под удар попали российские вузы водного транспорта и энергетика, где вредоносный код в файлах Excel открывает хакерам доступ к корпоративным сетям.

Эксперты «Лаборатории Касперского» зафиксировали активность новой киберпреступной группы, которая с января 2026 года использует легитимный инструмент для тестирования на проникновение Ravage для атак на российские организации. За последний год 50% инцидентов пришлось на учебные заведения, специализирующиеся на водном транспорте и рыбном хозяйстве, а также на энергетические компании и госучреждения. Злоумышленники маскируют вредоносный код под файлы Excel, что позволяет им обходить стандартные почтовые фильтры и получать удаленный доступ к корпоративным сетям.

Важный нюанс: Использование легального инструмента для пентестов в качестве оружия позволяет атакам выглядеть как внутренние проверки безопасности, что затрудняет их раннее выявление.

Механика атаки и используемые инструменты

Группировка применяет многоэтапную схему проникновения, основанную на социальной инженерии. Злоумышленники рассылают фишинговые письма с архивами, содержащими файлы, имитирующие деловую документацию (списки товаров, формы отчетности). При открытии файла запускается скрытый плагин для Microsoft Excel, который активирует цепочку загрузки вредоносных модулей.

Процесс разворачивается следующим образом:

  • Загрузчик скачивает биндер (программу-склейщик), содержащий известные бэкдоры, такие как PureRAT или RedLine.
  • Параллельно загружается утилита для запуска скриптов PowerShell, которая активирует фреймворк Ravage.
  • Фреймворк, вышедший в открытый доступ на GitHub в сентябре 2025 года, позволяет злоумышленникам выполнять команды, выгружать файлы, делать скриншоты и управлять устройствами в локальной сети через протоколы SMB или WMI.

Важно отметить, что Ravage не обладает функциями кражи сохраненных паролей или токенов доступа, но его базовый функционал достаточен для сбора конфиденциальных данных и подготовки почвы для более глубокого проникновения.

Целевые секторы и профиль жертв

Анализ показывает четкую сегментацию целей атак. Группировка, активная как минимум с 2024 года, действует планомерно и редко, что указывает на наличие у нее опыта и отработанных сценариев.

Основные пострадавшие отрасли в России:

  • Образование: Половина всех атак за год направлена на вузы и колледжи. В зоне особого риска находятся учебные заведения морского, речного, водного транспорта и рыбохозяйственного профиля.
  • Энергетика: Компании отрасли сталкиваются с попытками несанкционированного доступа.
  • Госсектор и финансы: Под удар попали дипломатические миссии, государственные учреждения и финансовые организации.

Стоит учесть: Фокус на образовательных учреждениях водного транспорта может свидетельствовать о попытке сбора специфических данных или использовании этих сетей как плацдарма для атак на смежные логистические и транспортные системы.

Рекомендации по защите инфраструктуры

Для минимизации рисков эксперты рекомендуют внедрить комплекс мер, направленных на блокировку фишинга и защиту конечных устройств. Ключевым фактором успеха становится обучение персонала, так как первичный доступ злоумышленники получают через ошибку пользователя.

Необходимые действия для бизнеса:

  • Обучение сотрудников: Проведение регулярных тренингов по кибергигиене для распознавания фишинговых писем с использованием специализированных платформ.
  • Защита почтовых шлюзов: Внедрение решений, автоматически блокирующих подозрительные вложения, проверяющих запароленные архивы и использующих технологии анализа угроз (CDR).
  • Защита конечных точек: Использование антивирусных решений с подтвержденной эффективностью в независимых тестах.
  • Единая система управления: Применение комплексных платформ (XDR) для построения гибкой системы безопасности и быстрого реагирования на инциденты.

На фоне этого: Переход преступников от использования готовых вредоносных программ к инструментам для легального тестирования на проникновение требует пересмотра правил доступа к сетям и ужесточения контроля за запуском скриптов.

Источник: kaspersky.ru

Контакты Асектор ✉

Коротко о главном

Почему 50% инцидентов зафиксированы в учебных заведениях водного транспорта?

Злоумышленники целенаправленно атакуют вузы морского и речного профиля, вероятно, для сбора специфических данных или использования их сетей как плацдарма для доступа к смежным логистическим системам.

Каким образом вредоносный код обходит почтовые фильтры?

Атакующие скрывают загрузчик в файлах Excel, имитирующих деловую документацию, что позволяет им проходить через стандартные проверки и получать удаленный доступ к корпоративным сетям.

Какие бэкдоры активируются при открытии фишингового файла в Excel?

Запуск скрытого плагина инициирует загрузку биндера с известными троянами, такими как PureRAT или RedLine, для обеспечения контроля над зараженным устройством.

Зачем злоумышленники используют утилиту PowerShell в цепочке атаки?

Скрипты PowerShell активируют фреймворк Ravage, который позволяет управлять устройствами в локальной сети через протоколы SMB или WMI и выполнять команды удаленно.

Какой функционал имеет фреймворк Ravage, вышедший на GitHub в сентябре 2025 года?

Инструмент позволяет выгружать файлы, делать скриншоты и управлять сетью, но не крадет сохраненные пароли, что делает его удобным для подготовки почвы к более глубокому проникновению.

Почему обучение персонала считается ключевым фактором защиты?

Поскольку первичный доступ к системам злоумышленники получают через ошибки пользователей при открытии фишинговых писем, регулярные тренинги снижают риск успешной атаки.

Какие меры рекомендуются для блокировки подозрительных вложений?

Эксперты советуют внедрять решения, автоматически проверяющие запароленные архивы и использующие технологии анализа угроз (CDR) для предотвращения запуска вредоносных скриптов.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Кибербезопасность; Государственное управление и общественная сфера; Финансы; Транспорт и логистика; Образование; Энергетика

Темы: Использование легитимных инструментов для пентестов; Кибератаки на критическую инфраструктуру; Фишинг с использованием макросов Excel;

GitHub Microsoft Excel Powershell Ravage RedLine SMB Windows Management Instrumentation «PureRAT (шпионская программа)» Лаборатория Касперского Россия

Материалы по теме

В фокусе
25% компаний РФ поставили ИИ в приоритет, но 22% не выделили бюджет на защиту
В фокусе
Мошенники используют Google Drawings для кражи карт под видом выигрыша в 250 тысяч рублей
В фокусе
Лаборатория Касперского: 34% подростков общаются с незнакомцами, а ИИ усиливает кибербуллинг
В фокусе
Авито Работа: 76% россиян требуют работу во время учебы, меняя правила найма
В фокусе
Спрос на курьеров в Марий Эл и Томской области вырос на 120% из-за новых логистических хабов
В фокусе
Geely EX5 прошел экстремальный тест двойного удара без теплового разгона батареи
Сайт использует cookie-файлы и возможности Яндекс.Метрики. Продолжая пользоваться сайтом, вы подтверждаете свое согласие на использование файлов cookie и принимаете пользовательское соглашение.