Специалисты «Лаборатории Касперского» выявили ранее неизвестную кибергруппу, нацеленную на учебные заведения, энергетические предприятия и другие организации в России. Особенностью этой группы является использование фреймворка Ravage, который предназначен для проведения тестов на проникновение. Этот инструмент способен выполнять различные команды на устройстве, загружать конфиденциальную информацию и делать скриншоты, как сообщили в пресс-службе компании.
Для первоначального доступа злоумышленники отправляют потенциальным жертвам фишинговые письма с вредоносными архивами на корпоративные электронные почты. В этих архивах находятся файлы, маскирующиеся под различные рабочие Excel-документы. Для повышения достоверности также могут использоваться названия реально существующих организаций.
Эти файлы представляют собой замаскированный плагин или расширение для приложения Microsoft Excel. При двойном клике на них откроется Excel, начнется загрузка и выполнение вредоносной библиотеки. В результате активируется загрузчик, который, в свою очередь, скачивает и запускает два исполняемых файла.
В этих файлах встроены URL-адреса, ведущие на скомпрометированный сайт. По одному из адресов загружается биндер, используемый для упаковки известных бэкдоров и стилеров, в частности PureRAT, а по второму – утилита, преобразующая файлы, которая запускает скрипт PowerShell, загружающий фреймворк Ravage.
«По своим возможностям Ravage схож с инструментами удалённого доступа (Remote Access Tool). Фреймворк способен выполнять манипуляции с файлами – загружать, скачивать, копировать и удалять, инициировать процессы и выполнять PowerShell-скрипты, полученные с сервера злоумышленников. Также Ravage может делать скриншоты и выполнять команды на компьютерах в локальной сети через SMB или WMI. Всё это входит в базовую функциональность, однако получать тикеты, токены, сохраненные пароли, а также создавать скрытые каналы управления внутри зараженной сети он не может», – отметил Олег Купреев, специалист по кибербезопасности в «Лаборатории Касперского».
В прошлом 2026 году было выявлено 96 новых фишинговых шаблонов, которые мошенники используют против россиян. Это на 96% больше по сравнению с периодом с 1 января по 27 мая 2025 года, когда было обнаружено 49 новых схем.
Хакеры получают 20 млн рублей за восстановление данных после кибератак
