Эксперты Лаборатории цифровой криминалистики F6 проанализировали атаки проукраинской группы Bearlyfy, которая провела более 70 атак на российские компании. Вымогатели планируют усиливать атаки: с начала марта 2026 года Bearlyfy стали использовать в атаках свои самописные шифровальщики, в том числе программу-вымогатель GenieLocker для ОС Windows.
Специалисты F6 отслеживают деятельность проукраинской группы Bearlyfy (также известной как Labubu) с момента ее появления в январе 2025 года. На наших глазах происходило становление этой группы. На ранних этапах участники группы демонстрировали неумелые действия и явно экспериментировали с техниками и инструментарием. В этот период целями группировки становились небольшие предприятия, также были и невысокие суммы выкупа в несколько тысяч долларов. Однако за год эта группировка стала настоящим кошмаром для российского крупного бизнеса, суммы выкупа стали достигать сотен тысяч долларов. Общее количество атак на настоящий момент насчитывает более 70.
Свое название группа получила по одному из первых контактов злоумышленников. Как и многие проукраинские группы, Bearlyfy является группой двойного назначения: целями атак является как получение финансовой выгоды, так и совершение диверсий. Так или иначе, основной целью Bearlyfy является нанесение тотального вреда российскому бизнесу. При этом стоит отметить, что атаки Bearlyfy являются весьма болезненными для российских компаний, в среднем каждая пятая жертва Bearlyfy оплачивает выкуп. Мы наблюдаем коллаборацию Bearlyfy с другими, более опытными проукраинскими группами, такими как Head Mare, но при этом группа имеет свой индивидуальный почерк с самого начала своей деятельности.
В большинстве случаев Bearlyfy получают доступ к инфраструктурам жертв за счет компрометации аутентификационных данных, предоставленных подрядчикам, либо непосредственной компрометации инфраструктуры сторонних организаций, имеющих доверенные связи с целевой сетью. Вместе с тем, в немалом количестве инцидентов Bearlyfy получали доступ к инфраструктурам жертв путем эксплуатации публично доступных сервисов Bitrix, 1С и TrueСonf.
Для закрепления в инфраструктуре атакующие активно используют различные средства сетевого туннелирования и удалённого доступа: asio5, cloudflared, localtonet, ShinySOCKS, gost, suo5, neo-regeorg, SSH-туннели, решения для удаленного администрирования, такие как MeshCentral и RuDesktop, а также и самописные реализации на PowerShell. Со временем участники группировки перешли к более активному использованию уже доступного на системах SSH и других штатных механизмов, что позволяет снизить заметность их присутствия и усложнить обнаружение.
Разведка сети и объектов Active Directory осуществляется с использованием утилит SoftPerfect Network Scanner, fscan, ADRecon, а также различных встроенных оснасток Windows. Для перемещения по сети преимущественно применяются протоколы RDP и SSH, однако также используются инструменты постэксплуатационных фреймворков Impacket и PsMapExec, утилиты PsExec/PaExec и Rubeus. В качестве нетривиального способа перемещения внутри инфраструктуры Bearlyfy применяют внешние обработки для 1С, позволяющие выполнять произвольный код на сервере приложений.
Эксфильтрация данных в рамках атак Bearlyfy осуществляется как через заранее развёрнутые сетевые туннели, так и посредством различных облачных сервисов обмена данными.
Финальной стадией большинства атак Bearlyfy становится шифрование данных с помощью программ-вымогателей. Массовый запуск программ-вымогателей на системах осуществляется различными способами: используя групповые политики с задачами, задания для программ централизованного управления инфраструктурой, в том числе и антивирусной, с помощью отдельных скриптов, утилиты PsMapExec, средств PowerShell, а также вручную в рамках активных RDP/SSH-сессий.
Одной из особенностей группы является то, что программы-вымогатели чаще всего не создают записок с требованием выкупа, атакующие при необходимости создают записки другими средствами. Текст записок может быть как лаконичным с указанием только контактных данных, так и развернутым с глумливым содержанием (ЛАБУБУ), чтобы еще больше задеть жертву.
Пример записки с требованием выкупа
Для шифрования данных в Windows группировка использовала преимущественно программу-вымогатель LockBit 3 Black, созданную с помощью билдера LockBit RaaS, утекшего в сентябре 2022 года. Для шифрования данных в Linux-системах группировка применяла свою версию Babuk на основе утекших исходных кодов Babuk. Данная версия дополнительно позволяет запускать себя в качестве демона, а также завершать процессы виртуальных машин ESXi перед шифрованием.
С мая 2025 года в некоторых атаках злоумышленниками использовалась незначительно модифицированная версия программы-вымогателя PolyVice известной партнерской программы (RaaS) Vice Society. Мы уже подмечали тот факт, что в проукраинских группах участвуют бывшие члены русскоязычных RaaS, преимущественно состоявших из украинцев и активно атаковавших ранее западные компании. Речь идет про такие завершившие свою деятельность партнерские программы, как HelloKitty/FiveHands и Vice Society.
Выпустили джинна
С начала марта 2026 года Bearlyfy стали использовать в атаках свои самописные программы-вымогатели. Для Windows — это программа-вымогатель, получившая от разработчиков название GenieLocker. Но и в данном случае не обошлось без исторических связей с другими известными партнерскими программами, ушедшими на покой. Используемая GenieLocker криптосхема и подходы явно позаимствованы у программ-вымогателей семейств Venus/Trinity. Авторы GenieLocker щедро снабдили свою поделку средствами антиотладки и антианализа, а также используют двойной контроль целостности зашифрованных данных. Разработчик GenieLocker так захотел продемонстрировать свои познания в криптографии, что даже для сравнения хеша «секрета», который вводится в командной строке для запуска программы-вымогателя, использует вариант функции memcmp с постоянным временем выполнения. Также претензией автора на оригинальность является случайный выбор блоков при блочном шифровании больших файлов, усложняющий возможное извлечение данных из зашифрованных файлов. Возможно, это перевооружение вызвано желанием выделиться на фоне других группировок, использующих в атаках уже набившую оскомину связку LockBit 3 и Babuk.
Всё это свидетельствует о том, что наши враги вошли во вкус и планируют все больше расширять атаки на российские компании. А насколько надолго, это уже зависит от нас с вами. Джинна надо снова заточить в бутылку.
С дополнительной информацией по семействам программ-вымогателей и преступным группировкам можно ознакомиться на нашем гитхабе.
