70 атак на бизнес в РФ: группа Bearlyfy выпустила свой шифровальщик GenieLocker для взлома 1С и Bitrix
NewsMakerЭкс-члены LockBit и Vice Society начали охоту на российский бизнес под флагом Bearlyfy.
Проукраинская хакерская группировка Bearlyfy, также известная как Labubu, провела более 70 атак на российские компании с момента появления в январе 2025 года. К такому выводу пришли эксперты Лаборатории цифровой криминалистики F6, проанализировавшие деятельность группы.
По данным F6, на ранних этапах участники группировки атаковали небольшие предприятия и требовали выкуп в несколько тысяч долларов. За год Bearlyfy переключились на крупный бизнес, а суммы выкупа выросли до сотен тысяч долларов. В среднем каждая пятая жертва группировки оплачивает выкуп.
Как отмечают аналитики F6, Bearlyfy является группой двойного назначения: атаки преследуют как финансовые цели, так и диверсионные. Эксперты фиксируют сотрудничество Bearlyfy с другими проукраинскими группами, в частности с Head Mare.
Доступ к инфраструктуре жертв злоумышленники чаще всего получают через компрометацию данных подрядчиков или через уязвимости публично доступных сервисов Bitrix, 1С и TrueConf. Для закрепления в сети используются средства туннелирования, инструменты удаленного администрирования и штатные механизмы операционных систем, что усложняет обнаружение. Разведка сети и объектов Active Directory осуществляется с помощью утилит SoftPerfect Network Scanner, fscan, ADRecon и встроенных оснасток Windows.
Проукраинская хакерская группировка Bearlyfy, также известная как Labubu, провела более 70 атак на российские компании с момента появления в январе 2025 года. К такому выводу пришли эксперты Лаборатории цифровой криминалистики F6, проанализировавшие деятельность группы.
По данным F6, на ранних этапах участники группировки атаковали небольшие предприятия и требовали выкуп в несколько тысяч долларов. За год Bearlyfy переключились на крупный бизнес, а суммы выкупа выросли до сотен тысяч долларов. В среднем каждая пятая жертва группировки оплачивает выкуп.
Как отмечают аналитики F6, Bearlyfy является группой двойного назначения: атаки преследуют как финансовые цели, так и диверсионные. Эксперты фиксируют сотрудничество Bearlyfy с другими проукраинскими группами, в частности с Head Mare.
Доступ к инфраструктуре жертв злоумышленники чаще всего получают через компрометацию данных подрядчиков или через уязвимости публично доступных сервисов Bitrix, 1С и TrueConf. Для закрепления в сети используются средства туннелирования, инструменты удаленного администрирования и штатные механизмы операционных систем, что усложняет обнаружение. Разведка сети и объектов Active Directory осуществляется с помощью утилит SoftPerfect Network Scanner, fscan, ADRecon и встроенных оснасток Windows.