## Bearlyfy: De Script Kiddies a Ameaça de Ransomware Surgindo em janeiro de 2025, o **Bearlyfy** inicialmente visou pequenas empresas russas, exibindo habilidades limitadas e exigindo resgates modestos. De acordo com um relatório da empresa russa de cibersegurança **F6**, o grupo evoluiu rapidamente, tornando-se uma ameaça significativa para organizações russas maiores. "Em um ano, este grupo se tornou um verdadeiro pesadelo para grandes empresas russas", afirmaram pesquisadores da **F6**, observando o aumento nas exigências de resgate para centenas de milhares de dólares. Os motivos do grupo parecem ser tanto financeiros quanto políticos, visando infligir danos máximos enquanto geram receita. A **F6** estima que aproximadamente uma em cada cinco vítimas acaba pagando o resgate. ## GenieLocker: Uma Arma Desenvolvida Sob Medida Desde o início de março, o **Bearlyfy** começou a implantar sua própria variante de ransomware Windows personalizada, conhecida como **GenieLocker**, indicando uma nova fase em suas operações. Pesquisadores acreditam que o grupo desenvolveu o **GenieLocker** internamente. Ao contrário das operações típicas de ransomware, o **Bearlyfy** nem sempre gera notas de resgate automatizadas. Em vez disso, os atacantes às vezes criam mensagens personalizadas, que variam de instruções concisas a mensagens provocadoras direcionadas à empresa vítima. ## Alavancando Código Vazado e Colaboração Ataques anteriores se basearam em ferramentas de ransomware existentes derivadas de código vazado. Por exemplo, o **Bearlyfy** frequentemente usou o **LockBit 3 Black**, criado com um builder para a plataforma ransomware-as-a-service **LockBit**, que vazou online em 2022. Em sistemas Linux, o grupo implantou uma versão modificada do ransomware **Babuk**, baseada em código-fonte vazado publicamente. A **F6** também observou colaboração entre o **Bearlyfy** e outros grupos pró-ucranianos mais experientes, como o **Head Mare**, embora o grupo tenha mantido seu próprio estilo operacional distinto. Pesquisadores ocidentais não relataram extensivamente a atividade do **Bearlyfy**, provavelmente devido à visibilidade limitada em redes russas.