⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo pró-ucraniano chamado Bearlyfy foi atribuído a mais de 70 ataques cibernéticos direcionados a empresas russas desde que surgiu pela primeira vez no cenário de ameaças em janeiro de 2025, com ataques recentes aproveitando uma cepa de ransomware personalizada do Windows de codinome GenieLocker.
“Bearlyfy (também conhecido como Labubu) opera como um grupo de duplo propósito que visa infligir o máximo dano às empresas russas; seus ataques servem ao duplo objetivo de extorsão para ganho financeiro e atos de sabotagem”, disse o fornecedor de segurança russo F6.
O grupo de hackers foi documentado pela primeira vez pela F6 em setembro de 2025 como aproveitando criptografadores associados ao LockBit 3 (Black) e Babuk, com invasões iniciais focadas em empresas menores antes de aumentar a aposta e exigir resgates no valor de € 80.000 (cerca de US$ 92.100). Em agosto de 2025, o grupo havia feito pelo menos 30 vítimas.
A partir de maio de 2025, os atores do Bearlyfy também utilizaram uma versão modificada do PolyVice, uma família de ransomware atribuída à Vice Society (também conhecida como DEV-0832 ou Vanilla Tempest), que tem um histórico de entrega de armários de terceiros, como Hello Kitty, Zeppelin, RedAlert e ransomware Rhysida em seus ataques.
Uma análise mais aprofundada do conjunto de ferramentas e da infraestrutura do agente da ameaça revela sobreposições com o PhantomCore, outro grupo avaliado como operando tendo em mente os interesses ucranianos. É conhecido por atacar empresas russas e bielorrussas desde 2022. Além do PhantomCore, o Bearlyfy também teria colaborado com o Head Mare.
Os ataques montados pelo grupo obtiveram acesso inicial através da exploração de serviços externos e aplicações vulneráveis, seguido pela eliminação de ferramentas como o MeshAgent para facilitar o acesso remoto e permitir a encriptação, destruição ou modificação de dados. Em contraste, o PhantomCore conduz campanhas no estilo APT, onde o reconhecimento, a persistência e a exfiltração de dados têm precedência.
“O próprio grupo se distingue por ataques rápidos caracterizados por preparação mínima e rápida criptografia de dados; outra característica distintiva desses ataques é que as notas de resgate não são geradas pelo próprio software ransomware, mas sim elaboradas diretamente pelos invasores”, observou F6 no ano passado.
Os ataques do Bearlyfy provaram ser um fluxo ilícito de geração de receitas. De acordo com os dados do F6, cerca de uma em cada cinco vítimas opta por pagar o resgate. Diz-se que as exigências iniciais de resgate do adversário aumentaram ainda mais, atingindo centenas de milhares de dólares.
A mudança mais notável no modus operandi do ator da ameaça é o uso de uma família de ransomware proprietária chamada GenieLocker para atingir endpoints do Windows desde o início de março de 2026. O esquema de criptografia do GenieLocker é inspirado nas famílias de ransomware Venus/Trinity.
Uma das características mais distintivas dos ataques de ransomware é que as notas de resgate são geradas automaticamente pelo armário. Em vez disso, os agentes da ameaça optam pelos seus próprios métodos para partilhar os próximos passos com as vítimas, seja apenas partilhando dados de contacto ou mensagens elaboradas que procuram exercer pressão psicológica e forçá-las a pagar.
“Embora nos seus estágios iniciais, os membros do Bearlyfy demonstrassem falta de sofisticação e estivessem claramente experimentando várias técnicas e conjuntos de ferramentas, no espaço de um único ano, este grupo evoluiu para um verdadeiro pesadelo para as empresas russas – incluindo grandes empresas”, disse F6.
“Bearlyfy (também conhecido como Labubu) opera como um grupo de duplo propósito que visa infligir o máximo dano às empresas russas; seus ataques servem ao duplo objetivo de extorsão para ganho financeiro e atos de sabotagem”, disse o fornecedor de segurança russo F6.
O grupo de hackers foi documentado pela primeira vez pela F6 em setembro de 2025 como aproveitando criptografadores associados ao LockBit 3 (Black) e Babuk, com invasões iniciais focadas em empresas menores antes de aumentar a aposta e exigir resgates no valor de € 80.000 (cerca de US$ 92.100). Em agosto de 2025, o grupo havia feito pelo menos 30 vítimas.
A partir de maio de 2025, os atores do Bearlyfy também utilizaram uma versão modificada do PolyVice, uma família de ransomware atribuída à Vice Society (também conhecida como DEV-0832 ou Vanilla Tempest), que tem um histórico de entrega de armários de terceiros, como Hello Kitty, Zeppelin, RedAlert e ransomware Rhysida em seus ataques.
Uma análise mais aprofundada do conjunto de ferramentas e da infraestrutura do agente da ameaça revela sobreposições com o PhantomCore, outro grupo avaliado como operando tendo em mente os interesses ucranianos. É conhecido por atacar empresas russas e bielorrussas desde 2022. Além do PhantomCore, o Bearlyfy também teria colaborado com o Head Mare.
Os ataques montados pelo grupo obtiveram acesso inicial através da exploração de serviços externos e aplicações vulneráveis, seguido pela eliminação de ferramentas como o MeshAgent para facilitar o acesso remoto e permitir a encriptação, destruição ou modificação de dados. Em contraste, o PhantomCore conduz campanhas no estilo APT, onde o reconhecimento, a persistência e a exfiltração de dados têm precedência.
“O próprio grupo se distingue por ataques rápidos caracterizados por preparação mínima e rápida criptografia de dados; outra característica distintiva desses ataques é que as notas de resgate não são geradas pelo próprio software ransomware, mas sim elaboradas diretamente pelos invasores”, observou F6 no ano passado.
Os ataques do Bearlyfy provaram ser um fluxo ilícito de geração de receitas. De acordo com os dados do F6, cerca de uma em cada cinco vítimas opta por pagar o resgate. Diz-se que as exigências iniciais de resgate do adversário aumentaram ainda mais, atingindo centenas de milhares de dólares.
A mudança mais notável no modus operandi do ator da ameaça é o uso de uma família de ransomware proprietária chamada GenieLocker para atingir endpoints do Windows desde o início de março de 2026. O esquema de criptografia do GenieLocker é inspirado nas famílias de ransomware Venus/Trinity.
Uma das características mais distintivas dos ataques de ransomware é que as notas de resgate são geradas automaticamente pelo armário. Em vez disso, os agentes da ameaça optam pelos seus próprios métodos para partilhar os próximos passos com as vítimas, seja apenas partilhando dados de contacto ou mensagens elaboradas que procuram exercer pressão psicológica e forçá-las a pagar.
“Embora nos seus estágios iniciais, os membros do Bearlyfy demonstrassem falta de sofisticação e estivessem claramente experimentando várias técnicas e conjuntos de ferramentas, no espaço de um único ano, este grupo evoluiu para um verdadeiro pesadelo para as empresas russas – incluindo grandes empresas”, disse F6.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #bearlyfy #atinge #empresas #russas #com #ransomware #genielocker #personalizado
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário