Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Bearlyfy scatena GenieLocker: 70+ attacchi ransomware-sabotaggio contro aziende russe, estorsione e caos operativo
Il gruppo Bearlyfy, noto anche come Labubu, è stato collegato a oltre 70 attacchi informatici contro aziende russe dall’inizio del 2025, con una strategia che unisce ransomware ed elementi di sabotaggio. Nel panorama della cybersecurity questo tipo di minaccia è particolarmente insidiosa perché combina estorsione economica e danni operativi, puntando a massimizzare l’impatto sui sistemi delle vittime e ad aumentare la pressione psicologica durante la negoziazione.
Nelle prime fasi Bearlyfy avrebbe utilizzato encryptor associati a famiglie note come LockBit 3 e Babuk, colpendo inizialmente realtà più piccole e aumentando poi le richieste di riscatto fino a cifre importanti, anche intorno a 80.000 euro. Con il passare dei mesi il gruppo ha ampliato il raggio d’azione e il numero di vittime, trasformando gli attacchi ransomware in una fonte di entrate illecite. Secondo le analisi disponibili, circa una vittima su cinque finisce per pagare, un dato che spiega perché le richieste si siano spinte verso centinaia di migliaia di dollari.
A partire da maggio 2025 gli attaccanti avrebbero impiegato anche una versione modificata di PolyVice, collegata a un ecosistema di locker usati in campagne precedenti da altri attori. L’analisi di tool e infrastrutture ha inoltre evidenziato sovrapposizioni con PhantomCore, gruppo attivo dal 2022 contro aziende russe e bielorusse, e possibili collaborazioni con Head Mare. Rispetto a campagne più strutturate in stile APT, Bearlyfy si distinguerebbe per attacchi rapidi, con preparazione minima e cifratura veloce dei dati.
La catena di infezione descritta include l’accesso iniziale tramite servizi esposti e applicazioni vulnerabili, seguito dal rilascio di strumenti per accesso remoto come MeshAgent. Da lì gli operatori possono procedere con cifratura, distruzione o modifica dei dati, aumentando i costi di ripristino e i tempi di fermo.
La novità più rilevante del 2026 è l’uso di un ransomware proprietario per Windows chiamato GenieLocker, osservato da inizio marzo 2026. Lo schema di cifratura sarebbe ispirato a Venus e Trinity. Un aspetto particolare è la gestione delle note di riscatto e della comunicazione: invece di affidarsi solo a messaggi standard, gli attaccanti possono fornire istruzioni e contatti con testi costruiti per fare leva sulla paura e spingere al pagamento.