Лабубу пришел за вашим сервером. Как проукраинские хакеры устроили российскому бизнесу «черный год»

Проукраинская хакерская группировка Bearlyfy, также известная как Labubu, провела более 70 атак на российские компании с момента появления в январе 2025 года. К такому выводу пришли эксперты Лаборатории цифровой криминалистики F6, проанализировавшие деятельность группы.

По данным F6, на ранних этапах участники группировки атаковали небольшие предприятия и требовали выкуп в несколько тысяч долларов. За год Bearlyfy переключились на крупный бизнес, а суммы выкупа выросли до сотен тысяч долларов. В среднем каждая пятая жертва группировки оплачивает выкуп.

Как отмечают аналитики F6, Bearlyfy является группой двойного назначения: атаки преследуют как финансовые цели, так и диверсионные. Эксперты фиксируют сотрудничество Bearlyfy с другими проукраинскими группами, в частности с Head Mare.

Доступ к инфраструктуре жертв злоумышленники чаще всего получают через компрометацию данных подрядчиков или через уязвимости публично доступных сервисов Bitrix, 1С и TrueConf. Для закрепления в сети используются средства туннелирования, инструменты удаленного администрирования и штатные механизмы операционных систем, что усложняет обнаружение. Разведка сети и объектов Active Directory осуществляется с помощью утилит SoftPerfect Network Scanner, fscan, ADRecon и встроенных оснасток Windows.

Для перемещения по сети преимущественно применяются протоколы RDP и SSH, а также инструменты постэксплуатационных фреймворков Impacket и PsMapExec. В качестве нетривиального способа перемещения внутри инфраструктуры Bearlyfy применяют внешние обработки для 1С, позволяющие выполнять произвольный код на сервере приложений. Эксфильтрация данных осуществляется как через заранее развернутые сетевые туннели, так и посредством облачных сервисов обмена данными.

Финальной стадией большинства атак становится шифрование данных. Одна из особенностей группы — программы-вымогатели чаще всего не создают записок с требованием выкупа, атакующие формируют записки другими средствами. Текст записок может быть как лаконичным с указанием только контактных данных, так и развернутым с глумливым содержанием.

Ранее группировка использовала преимущественно программу-вымогатель LockBit 3 Black для Windows и модифицированную версию Babuk для Linux-систем. Версия Babuk дополнительно позволяет запускать себя в качестве демона и завершать процессы виртуальных машин ESXi перед шифрованием. С мая 2025 года в отдельных атаках применялась модифицированная версия шифровальщика PolyVice партнерской программы Vice Society. Аналитики F6 указывают, что в проукраинских группах участвуют бывшие члены русскоязычных RaaS-программ, ранее атаковавших западные компании, в частности HelloKitty/FiveHands и Vice Society.

С начала марта 2026 года Bearlyfy перешли к использованию собственных шифровальщиков. Для Windows группировка разработала программу-вымогатель GenieLocker. По данным F6, криптосхема и подходы GenieLocker позаимствованы у шифровальщиков семейств Venus/Trinity. Разработчики снабдили программу средствами антиотладки и антианализа, применяют двойной контроль целостности зашифрованных данных, а для сравнения хеша «секрета», необходимого для запуска шифровальщика, используют вариант функции memcmp с постоянным временем выполнения. Еще одна особенность GenieLocker — случайный выбор блоков при шифровании больших файлов, что усложняет возможное извлечение данных.

Переход к самописным инструментам, по мнению экспертов F6, свидетельствует о намерении группировки расширять атаки на российские компании.