Bearlyfy выпустили джинна: F6 проанализировала свежие атаки группы

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала атаки проукраинской группы Bearlyfy, которая провела более 70 атак на российские компании с момента своего появления в январе 2025 года. Первоначальные суммы запрашиваемого группой выкупа достигают сотен тысяч долларов. С марта 2026 года Bearlyfy стали использовать программы-вымогатели собственной разработки, для Windows – шифровальщик под названием GenieLocker.

Bearlyfy (также известная как Labubu) является группой двойного назначения для нанесения максимального ущерба российскому бизнесу: целями атак является как вымогательство для получения финансовой выгоды, так и совершение диверсий.

По данным экспертов Лаборатории цифровой криминалистики F6, атаки Bearlyfy являются весьма болезненными для российских компаний, в среднем каждая пятая жертва Bearlyfy оплачивает выкуп. При этом за последний год первоначальные запрашиваемые суммы выкупа стали достигать сотен тысяч долларов.

Изначально для шифрования данных Bearlyfy использовали LockBit 3 Black и свою доработанную версию Babuk. С мая 2025 года в некоторых атаках злоумышленниками применялась незначительно модифицированная версия программы-вымогателя PolyVice известной партнерской программы (RaaS) Vice Society.

С начала марта 2026 года участники стали использовать в атаках свои самописные программы-вымогатели. Для Windows это программа-вымогатель, получившая от разработчиков название GenieLocker. Как отмечают эксперты Лаборатории цифровой криминалистики F6, используемая GenieLocker криптосхема и подходы явно позаимствованы у программ-вымогателей семейств Venus/Trinity. Эксперты F6 полагают, что авторы ВПО слишком увлеклись желанием удивить своими познаниями и наработками в криптографии и техниках антианализа, а также превзойти своей поделкой тот же LockBit 3.

Одной из особенностей Bearlyfy является то, что записки с требованием выкупа преимущественно создаются не программами-вымогателями, а «доставляются» другими способами. Текст записок может быть как лаконичным, с указанием только контактных данных, так и развернутым — с насмешками для дополнительного давления на жертву, например, от имени Лабубу.

«Мы наблюдаем коллаборацию Bearlyfy с другими более опытными проукраинскими группами, такими как Head Mare, но при этом она имеет свой индивидуальный почерк с самого начала своей деятельности. Если на ранних этапах участники Bearlyfy демонстрировали неумелые действия и явно экспериментировали с техниками и инструментарием, то за год эта группировка стала настоящим кошмаром для российского бизнеса, в том числе крупного. Возможно, перевооружение в виде использования программ-вымогателей собственной разработки вызвано желанием выделиться на фоне других группировок, но в любом случае Bearlyfy планируют дальше расширять свою преступную деятельность в Российской Федерации».

Антон Величко

Руководитель Лаборатории цифровой криминалистики F6

Подробности исследования группы Bearlyfy можно узнать здесь. По ссылке — реализация декриптора на Python и примеры зашифрованных файлов.

Дополнительную информацию о семействах программ-вымогателей и группировках вы можете найти на нашем гитхабе.