RansomwareHackerangriffeMalware

Bearlyfy: Pro-ukrainische Hackergruppe intensiviert Angriffe auf russische Unternehmen mit eigener Ransomware

Bearlyfy: Pro-ukrainische Hackergruppe intensiviert Angriffe auf russische Unternehmen mit eigener Ransomware
Zusammenfassung

Die pro-ukrainische Hackergruppe Bearlyfy führt seit Januar 2025 eine intensivierte Kampagne gegen russische Unternehmen durch und hat nach Erkenntnissen der russischen Cybersicherheitsfirma F6 bereits über 70 Cyberanschläge verübt. Die Gruppe, die zunächst mit begrenzten Fähigkeiten kleinere russische Firmen ins Visier nahm und nur niedrige Lösegeldforderungen stellte, hat sich zu einer erheblichen Bedrohung für große Konzerne entwickelt. Mittlerweile fordern die Angreifer Hundertausende Dollar pro Anschlag. Bearlyfy verbindet dabei finanzielle mit politischen Zielen und verursacht gezielt maximalen Schaden bei russischen Unternehmen. Besonders bemerkenswert ist die Entwicklung eigener Ransomware-Tools wie GenieLocker seit März 2024, die auf eine professionalisierung der Gruppe hindeutet. Während Bearlyfy international weniger dokumentiert ist – westliche Forscher haben begrenzte Einblicke in russische Netzwerke – könnte die Eskalation dieser Cyberwarfare-Aktivitäten auch deutsche Unternehmen mit Geschäftsbeziehungen zu Russland oder kritische Infrastrukturen indirekt beeinflussen, etwa durch Spillover-Effekte oder als Blaupause für ähnliche Attacken.

Bearlyfy markiert einen bemerkenswerten Wendepunkt in der pro-ukrainischen Cyberkriminallandschaft. Die Gruppe, die erstmals im Januar 2025 in Erscheinung trat, hat sich von einer Anfängergruppe mit limitierten Fähigkeiten zu einem professionellen Akteur entwickelt, der große russische Konzerne ins Visier nimmt. Nach Schätzungen der F6-Forscher zahlt etwa jedes fünfte Opfer das geforderte Lösegeld.

Ein Meilenstein in der Entwicklung von Bearlyfy ist die Einführung der eigenen Ransomware-Variante GenieLocker seit März 2025. Dies unterscheidet die Gruppe fundamental von ihren früheren Operationen, in denen sie auf bereits existierende, aus geleaktem Quellcode abgeleitete Malware-Tools setzte. Bearlyfy nutzte zunächst häufig LockBit 3 Black, das mit einem Builder des 2022 veröffentlichten LockBit-Ransomware-as-a-Service-Platfalls entwickelt wurde. Auf Linux-Systemen setzte die Gruppe auf modifizierte Versionen der Babuk-Ransomware.

Ein besonderer Aspekt von GenieLocker ist seine unkonventionelle Operationsweise: Anders als typische Ransomware-Varianten generieren die Lösegeldnachrichten nicht automatisch. Stattdessen verfassen die Angreifer häufig manuelle Nachrichten, die von knappen Anweisungen mit Kontaktdaten bis zu längeren, teils mokanten Botschaften an die betroffenen Unternehmen reichen. Dies zeigt eine bewusste psychologische Komponente der Angriffe.

F6-Forscher dokumentierten auch Kooperationen zwischen Bearlyfy und erfahreneren pro-ukrainischen Gruppen wie Head Mare, wobei Bearlyfy seinen eigenen operativen Stil bewahrt hat. Die Tatsache, dass westliche Cybersicherheitsforscher lange Zeit wenig über Bearlyfy berichteten, liegt vermutlich an mangelnder Sichtbarkeit in russischen Netzwerken.

Für die globale Cybersicherheitsgemeinschaft ist diese Entwicklung bedeutsam: Sie dokumentiert, wie sich Cyberkrieg-Akteure in Echtzeit professionalisieren und spezialisieren. Die Kombination aus finanziellen Motiven und geopolitischen Zielen macht Bearlyfy zu einer neuen Klasse von Bedrohungsakteuren, die klassische Unterscheidungen zwischen Cyberkriminalität und staatlicher Operationen verschwimmen lässt.

Ähnliche Artikel