De pro-Oekraïense hackersgroep Bearlyfy heeft het afgelopen jaar meer dan zeventig cyberaanvallen uitgevoerd op Russische bedrijven en breidt haar campagne uit met nieuw ontwikkelde ransomware, zo blijkt uit onderzoek van het Russische cybersecuritybedrijf F6. De groep verscheen voor het eerst in januari 2025 en richtte zich aanvankelijk op kleinere Russische ondernemingen. In deze beginfase waren de vaardigheden van de aanvallers beperkt en werden relatief lage losgeldbedragen van enkele duizenden dollars geëist.

Volgens de onderzoekers is Bearlyfy inmiddels uitgegroeid tot een serieuze bedreiging voor grote Russische bedrijven, waarbij de losgeldbedragen in recente aanvallen zijn gestegen tot enkele honderdduizenden dollars. De groep heeft zowel financiële als politieke motieven en streeft ernaar maximale schade toe te brengen aan Russische bedrijven, terwijl zij inkomsten genereert via ransomwarebetalingen. F6 schat dat ongeveer één op de vijf slachtoffers uiteindelijk het losgeld betaalt.

Bearlyfy heeft recentelijk eigen malware ontwikkeld, wat een nieuwe fase in hun activiteiten markeert. Sinds begin maart gebruikt de groep een op maat gemaakte Windows-ransomwarevariant genaamd GenieLocker, waarvan wordt aangenomen dat deze door de groep zelf is ontwikkeld. In tegenstelling tot veel andere ransomwarecampagnes genereert deze malware niet altijd automatisch losgeldberichten; soms maken de aanvallers handmatig berichten aan, variërend van korte instructies met contactgegevens tot langere teksten waarin het slachtoffer wordt bespot.

Vorigere Bearlyfy-aanvallen maakten vooral gebruik van bestaande ransomwaretools gebaseerd op gelekte code. Zo gebruikte de groep vaak LockBit 3 Black, een variant die met een builder van het LockBit ransomware-as-a-service-platform is gemaakt en in 2022 online is gelekt. Op Linux-systemen zette Bearlyfy een aangepaste versie van de Babuk-ransomware in, eveneens gebaseerd op publiek gelekte broncode. Daarnaast is er volgens F6 sprake van samenwerking tussen Bearlyfy en andere, meer ervaren pro-Oekraïense groepen zoals Head Mare, hoewel Bearlyfy een eigen operationele stijl behoudt.