Wprowadzenie do problemu / definicja
Grupa Bearlyfy, znana również jako Labubu, została powiązana z kampanią wymierzoną w rosyjskie przedsiębiorstwa z użyciem autorskiego ransomware GenieLocker. To oprogramowanie dla systemów Windows wpisuje się w model ataków łączących motyw finansowy z elementami sabotażu, co zwiększa skalę zakłóceń operacyjnych i presję na ofiary.
W praktyce oznacza to zagrożenie nie tylko dla dostępności danych, ale również dla ciągłości działania organizacji. Atak ransomware przestaje być wyłącznie próbą wymuszenia okupu i może prowadzić do realnego paraliżu procesów biznesowych.
W skrócie
- Bearlyfy ma odpowiadać za ponad 70 incydentów wymierzonych w rosyjskie organizacje od początku 2025 roku.
- Grupa początkowo wykorzystywała znane rodziny ransomware, takie jak LockBit 3, Babuk oraz zmodyfikowany PolyVice.
- W najnowszej fazie operacji napastnicy wdrożyli własne narzędzie szyfrujące o nazwie GenieLocker.
- Dostęp początkowy uzyskiwany jest głównie przez podatne usługi zewnętrzne i aplikacje wystawione do internetu.
- Po przejęciu dostępu operatorzy używają narzędzi zdalnego zarządzania, a następnie przechodzą do szyfrowania danych i działań wymuszających.
Kontekst / historia
Bearlyfy była wcześniej opisywana jako grupa koncentrująca się na rosyjskich podmiotach gospodarczych. We wcześniejszych etapach aktywności atakowała głównie mniejsze firmy, wykorzystując gotowe lub zmodyfikowane warianty znanych rodzin ransomware. Z czasem skala żądań finansowych rosła, a kampania objęła również większe organizacje.
Badacze wskazują także na podobieństwa infrastruktury i zestawu narzędzi do aktywności przypisywanej grupie PhantomCore. Tego rodzaju nakładanie się technik może sugerować współdzielenie zasobów, inspirację techniczną albo luźną współpracę operacyjną. W analizach pojawia się również wątek możliwej współpracy Bearlyfy z grupą Head Mare.
Przejście od korzystania z publicznie znanych rodzin szyfrujących do wdrożenia własnego malware świadczy o rosnącej dojrzałości operacyjnej. To istotna zmiana, ponieważ daje napastnikom większą kontrolę nad przebiegiem ataku, ułatwia modyfikowanie funkcji narzędzia i może utrudniać detekcję opartą wyłącznie na znanych sygnaturach.
Analiza techniczna
Z dostępnych informacji wynika, iż Bearlyfy uzyskuje dostęp początkowy przede wszystkim przez eksploatację zewnętrznie dostępnych usług i podatnych aplikacji. To typowy wektor wejścia w kampaniach ransomware, szczególnie skuteczny tam, gdzie organizacje utrzymują słabo zabezpieczone systemy brzegowe, zdalny dostęp lub nieaktualne komponenty aplikacyjne.
Po przejęciu dostępu operatorzy wdrażają narzędzia umożliwiające utrzymanie łączności z zaatakowanym środowiskiem. W raportach pojawia się m.in. MeshAgent, który może wspierać zdalne zarządzanie hostem, dalszy ruch w sieci oraz realizację kolejnych etapów operacji. Taki schemat wskazuje na podejście nastawione na szybkie osiągnięcie celu końcowego.
Od marca 2026 roku grupa ma wykorzystywać autorskie ransomware GenieLocker dla Windows. Mechanizm szyfrowania ma wykazywać inspiracje rodzinami Venus i Trinity, co z perspektywy obrońców oznacza mieszankę znanych elementów implementacyjnych i nowych cech mogących utrudniać klasyfikację oraz analizę.
Na uwagę zasługuje również sposób obsługi komunikatów wymuszających. We wcześniejszych etapach działalności noty okupu miały być przygotowywane osobno przez operatorów, a nie generowane automatycznie przez samo ransomware. W nowszej fazie opisano większy poziom automatyzacji, przy jednoczesnym zachowaniu niestandardowych kanałów kontaktu i technik wywierania presji psychologicznej.
Konsekwencje / ryzyko
Najbardziej oczywistym skutkiem ataku jest szyfrowanie danych i związane z nim zatrzymanie procesów biznesowych. W środowiskach produkcyjnych może to prowadzić do niedostępności kluczowych systemów, przerw operacyjnych oraz poważnych strat finansowych.
Ryzyko jest jednak szersze niż sama utrata dostępu do plików. Wykorzystanie narzędzi zdalnego dostępu oznacza możliwość prowadzenia dodatkowych działań destrukcyjnych, takich jak usuwanie danych, modyfikacja konfiguracji, niszczenie kopii zapasowych czy przejmowanie kont uprzywilejowanych.
Połączenie motywu finansowego z sabotażem zwiększa nieprzewidywalność incydentu. Organizacja nie może zakładać, iż zapłata okupu przywróci normalne działanie, zwłaszcza jeżeli celem napastników jest również maksymalizacja szkód operacyjnych. Dodatkowo szybkie tempo ataku skraca czas na wykrycie, izolację i ograniczenie ruchu lateralnego.
Wysokie pozostaje także ryzyko wtórne. Już na etapie poprzedzającym szyfrowanie napastnicy mogą prowadzić rekonesans, eskalację uprawnień i kompromitację systemów zarządzających. To znacząco podnosi koszt odbudowy środowiska po incydencie.
Rekomendacje
Organizacje powinny przede wszystkim ograniczyć powierzchnię ataku usług wystawionych do internetu. Obejmuje to audyt publicznie dostępnych aplikacji, szybkie wdrażanie poprawek bezpieczeństwa, wyłączanie zbędnych usług oraz wymuszenie uwierzytelniania wieloskładnikowego dla dostępu zdalnego i kont administracyjnych.
Niezbędne jest także monitorowanie uruchamiania narzędzi zdalnego zarządzania, które mogą zostać użyte w sposób nieautoryzowany. W praktyce warto wdrożyć listy dozwolonych aplikacji, reguły EDR wykrywające nietypowe procesy potomne oraz alerty dotyczące nowych usług, zadań harmonogramu i mechanizmów persistence.
Kluczowe znaczenie ma segmentacja sieci i separacja kopii zapasowych od środowiska produkcyjnego. Backupy powinny być odporne na modyfikację, przechowywane w sposób utrudniający ich zniszczenie oraz regularnie testowane pod kątem skutecznego odtwarzania.
Warto również przygotować procedury reagowania specyficzne dla ransomware. Powinny one obejmować szybkie odłączanie hostów od sieci, blokowanie kont używanych do ruchu lateralnego, zabezpieczanie artefaktów do analizy śledczej oraz priorytetową ochronę systemów tożsamości, hypervisorów i serwerów kopii zapasowych.
- Regularnie aktualizować systemy brzegowe i aplikacje publiczne.
- Wymuszać MFA dla zdalnego dostępu i administratorów.
- Monitorować uruchamianie agentów zdalnego zarządzania.
- Segmentować sieć i izolować krytyczne zasoby.
- Testować procedury odtwarzania z kopii zapasowych.
- Łączyć telemetrię endpointów, logów uwierzytelniania i zdarzeń sieciowych.
Podsumowanie
Kampania Bearlyfy pokazuje, iż choćby grupy postrzegane początkowo jako mniej zaawansowane mogą gwałtownie rozwinąć własne narzędzia i zwiększyć skuteczność operacyjną. Wdrożenie ransomware GenieLocker to wyraźny sygnał profesjonalizacji działań i wzrostu zagrożenia dla środowisk Windows.
Dla obrońców najważniejszy wniosek jest praktyczny: skuteczna ochrona przed takimi kampaniami wymaga jednoczesnego zabezpieczenia usług brzegowych, ścisłej kontroli dostępu zdalnego, silnej segmentacji i gotowości do szybkiej izolacji systemów. W przypadku operacji łączących wymuszenie z sabotażem kluczowa staje się odporność całej organizacji, a nie tylko minimalizacja strat finansowych.