## Bearlyfy: Von Script Kiddies zur Ransomware-Bedrohung Seit ihrer Entstehung im Januar 2025 zielte **Bearlyfy** zunächst auf kleinere russische Unternehmen ab, zeigte begrenzte Fähigkeiten und forderte bescheidene Lösegelder. Laut einem Bericht der russischen Cybersicherheitsfirma **F6** hat sich die Gruppe rasant weiterentwickelt und stellt nun eine erhebliche Bedrohung für größere russische Organisationen dar. "Innerhalb eines Jahres ist diese Gruppe zu einem echten Albtraum für große russische Unternehmen geworden", erklärten **F6**-Forscher und bemerkten den Anstieg der Lösegeldforderungen auf Hunderttausende von Dollar. Die Motive der Gruppe scheinen sowohl finanzieller als auch politischer Natur zu sein, mit dem Ziel, maximalen Schaden anzurichten und gleichzeitig Einnahmen zu generieren. **F6** schätzt, dass etwa jedes fünfte Opfer das Lösegeld zahlt. ## GenieLocker: Eine selbst entwickelte Waffe Seit Anfang März setzt **Bearlyfy** seine eigene, selbst entwickelte Windows-Ransomware-Variante namens **GenieLocker** ein, was eine neue Phase ihrer Operationen einleitet. Forscher gehen davon aus, dass die Gruppe **GenieLocker** intern entwickelt hat. Im Gegensatz zu typischen Ransomware-Operationen generiert **Bearlyfy** nicht immer automatisierte Lösegeldbotschaften. Stattdessen erstellen die Angreifer manchmal personalisierte Nachrichten, die von knappen Anweisungen bis hin zu spöttischen Botschaften an das betroffene Unternehmen reichen. ## Nutzung geleakter Codes und Zusammenarbeit Frühere Angriffe stützten sich auf bestehende Ransomware-Tools, die aus geleakten Codes stammten. So verwendete **Bearlyfy** beispielsweise häufig **LockBit 3 Black**, das mit einem Builder für die **LockBit** Ransomware-as-a-Service-Plattform erstellt wurde, die 2022 online geleakt wurde. Auf Linux-Systemen setzte die Gruppe eine modifizierte Version der **Babuk**-Ransomware ein, basierend auf öffentlich geleaktem Quellcode. **F6** hat auch eine Zusammenarbeit zwischen **Bearlyfy** und anderen, erfahreneren pro-ukrainischen Gruppen wie **Head Mare** beobachtet, obwohl die Gruppe ihren eigenen, unverwechselbaren operativen Stil beibehalten hat. Westliche Forscher haben die Aktivitäten von **Bearlyfy** nicht umfassend berichtet, wahrscheinlich aufgrund der begrenzten Sichtbarkeit in russischen Netzwerken.