Hackers Atacam Organizações Russas com Ferramenta de Pentest Ravage
Pesquisadores da Kaspersky detectaram um grupo de hackers utilizando o framework de pentest Ravage para atacar organizações russas. As vítimas incluem instituições de ensino, empresas de energia, órgãos governamentais e instituições financeiras, com ataques iniciados através de e-mails de phishing.
MundiX News·02 de junho de 2026·3 min de leitura·👁 10 views
Especialistas da Kaspersky detectaram um grupo de hackers, ainda sem nome, que está atacando organizações russas utilizando o Ravage, um framework de pentest publicado no GitHub no outono do ano passado. As vítimas incluem instituições de ensino, empresas de energia, órgãos governamentais, representações diplomáticas e organizações financeiras. A descoberta revela uma nova ameaça no cenário de cibersegurança, com os invasores empregando táticas sofisticadas para comprometer sistemas e roubar dados.
Os pesquisadores observam que o Ravage foi disponibilizado em acesso aberto em setembro de 2025, e já em janeiro de 2026 começou a ser utilizado em ataques reais. O grupo de hackers detectado está ativo pelo menos desde 2024. Anteriormente, os atacantes utilizavam outras ferramentas, incluindo RedLine, PureRAT e até mesmo Cobalt Strike. A técnica de ataque inicial envolve o envio de e-mails de phishing para endereços corporativos. Os anexos são disfarçados como documentos do Microsoft Excel, como listas de produtos, formulários e outros arquivos de trabalho. Para aumentar a credibilidade, os nomes dos arquivos podem incluir nomes de organizações reais.
Na realidade, a vítima recebe um arquivo XLL. Ao abri-lo, o Excel é executado e uma biblioteca maliciosa é carregada no sistema. A cadeia de infecção leva ao download de componentes adicionais de um site comprometido. Um deles é um binder para entregar backdoors e stealers conhecidos, incluindo PureRAT. O segundo executa um script PowerShell que, por fim, carrega o Ravage. Segundo os pesquisadores, em termos de suas capacidades, o Ravage se assemelha mais a uma ferramenta de acesso remoto comum do que a um framework completo para pós-exploração. Ele permite carregar e descarregar arquivos, iniciar processos, executar scripts PowerShell, fazer capturas de tela e executar comandos em outros computadores na rede local via SMB ou WMI. No entanto, as capacidades da ferramenta são limitadas. Ao contrário de soluções mais avançadas, o Ravage não pode extrair tickets, tokens e senhas salvas, nem suporta a criação de canais de comando ocultos dentro da rede comprometida.
Nos últimos 12 meses, mais da metade dos ataques do novo grupo, ainda sem nome, foram direcionados a instituições de ensino russas. Cerca de 80% dessas organizações estão relacionadas a áreas marítimas, fluviais e de pesca, bem como à formação de pessoal para a indústria de transportes. Além disso, empresas do setor de energia, organizações financeiras, órgãos governamentais e instituições diplomáticas foram atacadas. O grupo não age de forma muito ativa e pode desaparecer do campo de visão por longos períodos. Às vezes, os invasores fazem pausas de vários meses e, em seguida, conduzem uma série de ataques em um curto período de tempo. De acordo com os pesquisadores, essa tática sugere que o grupo por trás dos ataques é experiente e possui seus próprios cenários de penetração bem estabelecidos.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Kaspersky detectaram um grupo de hackers, ainda sem nome, que está atacando organizações russas utilizando o Ravage, um framework de pentest publicado no GitHub no outono do ano passado. As vítimas incluem instituições de ensino, empresas de energia, órgãos governamentais, representações diplomáticas e organizações financeiras. A descoberta revela uma nova ameaça no cenário de cibersegurança, com os invasores empregando táticas sofisticadas para comprometer sistemas e roubar dados.
Os pesquisadores observam que o Ravage foi disponibilizado em acesso aberto em setembro de 2025, e já em janeiro de 2026 começou a ser utilizado em ataques reais. O grupo de hackers detectado está ativo pelo menos desde 2024. Anteriormente, os atacantes utilizavam outras ferramentas, incluindo RedLine, PureRAT e até mesmo Cobalt Strike. A técnica de ataque inicial envolve o envio de e-mails de phishing para endereços corporativos. Os anexos são disfarçados como documentos do Microsoft Excel, como listas de produtos, formulários e outros arquivos de trabalho. Para aumentar a credibilidade, os nomes dos arquivos podem incluir nomes de organizações reais.
Na realidade, a vítima recebe um arquivo XLL. Ao abri-lo, o Excel é executado e uma biblioteca maliciosa é carregada no sistema. A cadeia de infecção leva ao download de componentes adicionais de um site comprometido. Um deles é um binder para entregar backdoors e stealers conhecidos, incluindo PureRAT. O segundo executa um script PowerShell que, por fim, carrega o Ravage. Segundo os pesquisadores, em termos de suas capacidades, o Ravage se assemelha mais a uma ferramenta de acesso remoto comum do que a um framework completo para pós-exploração. Ele permite carregar e descarregar arquivos, iniciar processos, executar scripts PowerShell, fazer capturas de tela e executar comandos em outros computadores na rede local via SMB ou WMI. No entanto, as capacidades da ferramenta são limitadas. Ao contrário de soluções mais avançadas, o Ravage não pode extrair tickets, tokens e senhas salvas, nem suporta a criação de canais de comando ocultos dentro da rede comprometida.
Nos últimos 12 meses, mais da metade dos ataques do novo grupo, ainda sem nome, foram direcionados a instituições de ensino russas. Cerca de 80% dessas organizações estão relacionadas a áreas marítimas, fluviais e de pesca, bem como à formação de pessoal para a indústria de transportes. Além disso, empresas do setor de energia, organizações financeiras, órgãos governamentais e instituições diplomáticas foram atacadas. O grupo não age de forma muito ativa e pode desaparecer do campo de visão por longos períodos. Às vezes, os invasores fazem pausas de vários meses e, em seguida, conduzem uma série de ataques em um curto período de tempo. De acordo com os pesquisadores, essa tática sugere que o grupo por trás dos ataques é experiente e possui seus próprios cenários de penetração bem estabelecidos.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
