## Bearlyfy: De "Script Kiddies" a Amenaza de Ransomware Surgido en enero de 2025, **Bearlyfy** inicialmente se dirigió a empresas rusas más pequeñas, mostrando habilidades limitadas y exigiendo rescates modestos. Según un informe de la firma rusa de ciberseguridad **F6**, el grupo ha evolucionado rápidamente, convirtiéndose en una amenaza significativa para organizaciones rusas más grandes. "En un año, este grupo se ha convertido en una verdadera pesadilla para las grandes empresas rusas", declararon los investigadores de **F6**, señalando el aumento de las demandas de rescate a cientos de miles de dólares. Los motivos del grupo parecen ser tanto financieros como políticos, con el objetivo de infligir el máximo daño mientras generan ingresos. **F6** estima que aproximadamente una de cada cinco víctimas termina pagando el rescate. ## GenieLocker: Un Arma Desarrollada a Medida Desde principios de marzo, **Bearlyfy** ha comenzado a desplegar su propia cepa de ransomware personalizada para Windows conocida como **GenieLocker**, lo que indica una nueva fase en sus operaciones. Los investigadores creen que el grupo desarrolló **GenieLocker** internamente. A diferencia de las operaciones típicas de ransomware, **Bearlyfy** no siempre genera notas de rescate automatizadas. En cambio, los atacantes a veces elaboran mensajes personalizados, que van desde instrucciones concisas hasta mensajes burlones dirigidos a la empresa víctima. ## Aprovechando Código Filtrado y Colaboración Los ataques anteriores se basaron en herramientas de ransomware existentes derivadas de código filtrado. Por ejemplo, **Bearlyfy** utilizó frecuentemente **LockBit 3 Black**, creado con un constructor para la plataforma de ransomware como servicio **LockBit** que se filtró en línea en 2022. En sistemas Linux, el grupo desplegó una versión modificada del ransomware **Babuk** basada en código fuente filtrado públicamente. **F6** también ha observado colaboración entre **Bearlyfy** y otros grupos pro-ucranianos más experimentados, como **Head Mare**, aunque el grupo ha mantenido su propio estilo operativo distintivo. Los investigadores occidentales no han informado extensamente sobre la actividad de **Bearlyfy**, probablemente debido a la visibilidad limitada en las redes rusas.