## Bearlyfy : des script kiddies à la terreur du ransomware Apparu en janvier 2025, **Bearlyfy** ciblait initialement de petites entreprises russes, faisant preuve de compétences limitées et exigeant des rançons modestes. Selon un rapport de la société russe de cybersécurité **F6**, le groupe a rapidement évolué, devenant une menace significative pour les grandes organisations russes. « En un an, ce groupe est devenu un véritable cauchemar pour les grandes entreprises russes », ont déclaré les chercheurs de **F6**, notant la flambée des demandes de rançon à des centaines de milliers de dollars. Les motivations du groupe semblent être à la fois financières et politiques, visant à infliger un maximum de dégâts tout en générant des revenus. **F6** estime qu'environ une victime sur cinq finit par payer la rançon. ## GenieLocker : une arme personnalisée Depuis début mars, **Bearlyfy** a commencé à déployer sa propre souche de ransomware Windows personnalisée connue sous le nom de **GenieLocker**, marquant une nouvelle phase dans ses opérations. Les chercheurs pensent que le groupe a développé **GenieLocker** en interne. Contrairement aux opérations de ransomware typiques, **Bearlyfy** ne génère pas toujours de notes de rançon automatisées. Au lieu de cela, les attaquants rédigent parfois des messages personnalisés, allant d'instructions concises à des messages moqueurs adressés à l'entreprise victime. ## Exploitation de code divulgué et collaboration Les attaques antérieures s'appuyaient sur des outils de ransomware existants dérivés de code divulgué. Par exemple, **Bearlyfy** utilisait fréquemment **LockBit 3 Black**, créé avec un constructeur pour la plateforme de ransomware-as-a-service **LockBit** qui a fuité en ligne en 2022. Sur les systèmes Linux, le groupe déployait une version modifiée du ransomware **Babuk** basée sur le code source divulgué publiquement. **F6** a également observé une collaboration entre **Bearlyfy** et d'autres groupes pro-ukrainiens plus expérimentés, tels que **Head Mare**, bien que le groupe ait conservé son propre style opérationnel distinct. Les chercheurs occidentaux n'ont pas beaucoup rapporté sur l'activité de **Bearlyfy**, probablement en raison d'une visibilité limitée sur les réseaux russes.