Bearlyfy атакует шифровальщиком GenieLocker
С начала 2025 года на карте киберугроз появился новый игрок, который за короткий срок превратился из малоизвестной группы в одну из самых серьезных проблем для российского бизнеса. Прокси-украинское хакерское объединение Bearlyfy (также известное как Labubu) провело более семидесяти атак на российские компании, и с марта 2026 года арсенал злоумышленников пополнился собственным инструментом — шифровальщиком GenieLocker.
Это не просто очередная вымогательская группировка. Bearlyfy преследует сразу две цели: финансовую выгоду через требования выкупа и прямое причинение ущерба российским предприятиям. Как отмечают эксперты из российской вендорской компании F6, в такой двойной мотивации кроется главная опасность группы — для неё одинаково важны и деньги, и разрушительный эффект от атак.
Путь Bearlyfy к нынешнему уровню угрозы был стремительным. Первые атаки, зафиксированные в январе 2025 года, выглядели как эксперименты новичков: злоумышленники использовали готовые конструкторы LockBit 3 (версия Black) и Babuk, нацеливаясь на небольшие компании. Уже к августу того же года количество подтверждённых жертв перевалило за тридцать, а суммы выкупа достигли 80 тысяч евро за одну атаку.
Группа быстро училась. К маю 2025 года в её арсенале появилась модифицированная версия вымогателя PolyVice — инструмента, ранее ассоциировавшегося с группировкой Vice Society, известной использованием сторонних шифровальщиков вроде Hello Kitty, Zeppelin и Rhysida. Это свидетельствовало о том, что Bearlyfy активно изучает опыт других хакерских коллективов и адаптирует наиболее эффективные методы.
Анализ инфраструктуры и инструментария Bearlyfy выявил любопытные связи. Исследователи обнаружили пересечения с PhantomCore — группой, которая с 2022 года атакует российские и белорусские компании и также действует в интересах Украины. Кроме того, зафиксированы случаи сотрудничества Bearlyfy с другой известной группировкой — Head Mare. Такая кооперация позволяет злоумышленникам обмениваться опытом и расширять спектр используемых техник.
Тактика Bearlyfy заметно отличается от классических APT-кампаний. Если PhantomCore делает ставку на длительную разведку, закрепление в системе и скрытое извлечение данных, то Bearlyfy действует по принципу «быстро и громко». Атаки группы характеризуются минимальной подготовкой и стремительным шифрованием данных. Злоумышленники не тратят время на сложные схемы закрепления — их цель как можно быстрее достичь результата.
Способы получения первоначального доступа в инфраструктуру жертвы выглядят предсказуемо, но от этого не менее эффективно. Bearlyfy эксплуатирует уязвимости во внешних сервисах и приложениях, а после проникновения разворачивает инструменты удалённого доступа вроде MeshAgent. Это позволяет хакерам управлять заражёнными системами, запускать шифрование, уничтожать или изменять данные.
Одна из самых необычных особенностей атак Bearlyfy касается коммуникации с жертвами. В отличие от подавляющего большинства вымогательских групп, они не используют автоматическую генерацию записок с требованиями выкупа, встроенную в шифровальщик. Вместо этого злоумышленники лично составляют сообщения для каждой компании. Иногда это просто контактные данные, иногда — развёрнутые психологически выверенные тексты, цель которых — оказать максимальное давление и вынудить жертву заплатить. Такой подход говорит о глубокой проработке каждой атаки и стремлении воздействовать не только на IT-инфраструктуру, но и на людей, принимающих решения.
Финансовые результаты деятельности Bearlyfy впечатляют. По данным F6, около 20 процентов атакованных компаний соглашаются на выплату выкупа. Причём первоначальные требования злоумышленников со временем только растут и уже достигают сотен тысяч долларов за одну атаку. Это делает группу не только разрушительной, но и высокодоходной.
Самый значимый поворот в тактике Bearlyfy произошёл в начале марта 2026 года. Группа начала использовать собственный проприетарный шифровальщик, получивший название GenieLocker. Это уже не модифицированные версии чужих программ, а полностью оригинальная разработка. В основе алгоритмов шифрования GenieLocker лежат наработки семейств Venus и Trinity, но адаптированные под специфические задачи группы. Переход на собственное программное обеспечение снижает зависимость от внешних разработчиков и позволяет точечно настраивать инструмент под конкретные цели.
Эволюция Bearlyfy за один год поражает. От неопытных новичков, пробующих разные инструменты и методы, группировка превратилась в настоящий кошмар для российского бизнеса, включая крупные предприятия. Как отмечают аналитики F6, за двенадцать месяцев Bearlyfy прошла путь, на который другим группам требуются годы. Комбинирование финансового вымогательства с идеологически мотивированным саботажем делает эту угрозу особенно сложной для прогнозирования и противодействия.
Для российских компаний уроки противостояния Bearlyfy очевидны. Взломщики активно используют уязвимости внешних сервисов, что требует особого внимания к безопасности периметра. Их ставка на скорость шифрования делает критически важным наличие актуальных резервных копий, хранящихся отдельно от основной инфраструктуры. А нестандартный подход к коммуникации с жертвами напоминает, что защита должна строиться не только на технических, но и на организационных мерах, включая чёткие регламенты действий в случае инцидента.
