Die russische Sicherheitsfirma F6 beschreibt eine deutliche Entwicklung der Gruppe: “Innerhalb eines Jahres ist diese Gruppe zu einem echten Albtraum für große russische Unternehmen geworden”, erklärten die Forscher. Während die Lösegeldforderungen anfangs nur wenige tausend Dollar betrugen, erreichen sie bei den jüngsten Angriffen mehrere hunderttausend Dollar.

Nach Einschätzung von F6 verfolgt Bearlyfy ein doppeltes Ziel: Die Angreifer wollen russischen Firmen größtmöglichen Schaden zufügen und gleichzeitig über Erpressungszahlungen Geld verdienen. Etwa jedes fünfte Opfer zahlt laut den Schätzungen der Firma schließlich das geforderte Lösegeld.

Seit Anfang März setzt die Gruppe eine eigene, für Windows entwickelte Ransomware namens GenieLocker ein, die nach Auffassung der Forscher von Bearlyfy selbst stammt. Dieser Schritt markiert eine neue Stufe ihrer Operationen.

Ungewöhnlich ist dabei der Umgang mit den Erpresserbotschaften: Anders als viele Ransomware-Operationen erzeugt die Schadsoftware von Bearlyfy nicht immer automatisch eine Lösegeldforderung. Stattdessen verfassen die Angreifer ihre Nachrichten teils manuell – von kurzen Anweisungen mit Kontaktdaten bis hin zu längeren Texten, die das betroffene Unternehmen verspotten.

Frühere Angriffe stützten sich stark auf vorhandene Ransomware aus geleaktem Code. So nutzte Bearlyfy häufig LockBit 3 Black, erstellt mit einem Baukasten der Ransomware-as-a-Service-Plattform LockBit, der 2022 ins Netz gelangte. Auf Linux-Systemen kam eine abgewandelte Version der Babuk-Ransomware zum Einsatz, die auf öffentlich geleaktem Quellcode beruht.

F6 beobachtete zudem eine Zusammenarbeit zwischen Bearlyfy und anderen, erfahreneren pro-ukrainischen Gruppen wie Head Mare. Den Forschern zufolge behielt Bearlyfy dabei jedoch einen eigenen, unverwechselbaren Arbeitsstil bei.

Westliche Forscher haben bislang nicht über die Aktivitäten von Bearlyfy berichtet – vermutlich, weil vielen der Einblick in russische Netzwerke fehlt.