Bearlyfy выпустили джинна: F6 проанализировала свежие атаки группы

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала атаки проукраинской группы Bearlyfy, которая провела более 70 атак на российские компании с момента своего появления в январе 2025 года. Первоначальные суммы запрашиваемого группой выкупа достигают сотен тысяч долларов. С марта 2026 года Bearlyfy стали использовать программы-вымогатели собственной разработки, для Windows – шифровальщик под названием GenieLocker.

Bearlyfy (также известная как Labubu) является группой двойного назначения для нанесения максимального ущерба российскому бизнесу: целями атак является как вымогательство для получения финансовой выгоды, так и совершение диверсий.

По данным экспертов Лаборатории цифровой криминалистики F6, атаки Bearlyfy являются весьма болезненными для российских компаний, в среднем каждая пятая жертва Bearlyfy оплачивает выкуп. При этом за последний год первоначальные запрашиваемые суммы выкупа стали достигать сотен тысяч долларов.

Изначально для шифрования данных Bearlyfy использовали LockBit 3 Black и свою доработанную версию Babuk. С мая 2025 года в некоторых атаках злоумышленниками использовалась незначительно модифицированная версия программы-вымогателя PolyVice известной партнерской программы (RaaS) Vice Society.

С начала марта 2026 года участники стали использовать в атаках свои самописные программы-вымогатели. Для Windows это программа-вымогатель, получившая от разработчиков название GenieLocker. Как отмечают эксперты Лаборатории цифровой криминалистики F6, используемая GenieLocker криптосхема и подходы явно позаимствованы у программ-вымогателей семейств Venus/Trinity. Эксперты F6 полагают, что авторы ВПО слишком увлеклись желанием удивить своими познаниями и наработками в