Ravage: легальный инструмент для пентестов превращается в оружие против российских организаций
«Лаборатория Касперского» зафиксировала атаки новой хакерской группировки на госструктуры, энергетику, университеты и финансовые компании в России. Инструмент — Ravage, open-source фреймворк для тестирования на проникновение, опубликованный на GitHub осенью 2025 года.
Ravage позиционируется как легальный инструмент для команд безопасности — наборы модулей для эксплуатации уязвимостей, обхода защит и постэксплуатации. Публичный код, документация на GitHub, активное комьюнити. Классическая история двойного назначения: то, что помогает красной команде проверить периметр, в руках злоумышленников становится готовым арсеналом.
Аналитики Kaspersky выделили кампанию в отдельный APT-кластер после серии целевых атак на критическую инфраструктуру. География жертв — Россия, сектора: образование, энергетика, дипломатические представительства, государственные органы, банки. Атакующие используют Ravage не из коробки — модифицируют модули под конкретные среды, добавляют обфускацию, интегрируют с собственной инфраструктурой управления.
Почему это важно: легальные пентест-фреймворки (Cobalt Strike, Metasploit, теперь Ravage) регулярно утекают в руки атакующих. Защита периметра строится на сигнатурах известных инструментов — но когда инструмент свежий, открытый и легко модифицируемый, детект запаздывает. Плюс психологический фактор: трафик выглядит как легитимная активность красной команды, SOC может пропустить первые этапы.
Что делать: инвентаризировать использование Ravage внутри компании (если пентестеры его применяют — фиксировать хеши, сетевые паттерны), обновить правила SIEM и EDR под известные IOC из отчёта Kaspersky, пересмотреть политику white-листинга инструментов для внутренних команд. Если видишь Ravage в логах, а у тебя нет согласованного пентеста — это инцидент, не учебная тревога.
Ограничение: публичные детали атак пока минимальны — Kaspersky не раскрывает полный набор TTPs и IOC. Ждём технического отчёта с хешами, сетевыми индикаторами и YARA-правилами. До этого момента защита строится на общих принципах: мониторинг аномальной активности легальных инструментов, жёсткий контроль исходящих соединений, сегментация критичных сегментов.
