Die russische Sicherheitsfirma F6 hat die Hackergruppe Bearlyfy dokumentiert, die unter verschiedenen Namen wie Labuib bekannt ist und gezielt gegen russische Unternehmen vorgeht. Seit ihrer Entdeckung im Januar 2025 hat sich die Gruppe von anfänglichen Angriffen auf kleinere Unternehmen zu hochgradig organisierten Kampagnen gegen größere Konzerne entwickelt.
Eskalation der Angriffsmethoden
Die Gruppe begann 2025 mit etablierten Ransomware-Varianten: LockBit 3 (Black) und Babuk waren ihre Werkzeuge der Wahl. Die Lösegeldforderungen stiegen schnell an – von anfänglichen 80.000 Euro auf Hunderttausende Dollar. Im August 2025 konnte Bearlyfy bereits 30 Opfer vorweisen. Ab Mai 2025 nutzte die Gruppe auch eine modifizierte Version von PolyVice, einer Ransomware-Familie, die ursprünglich Vice Society zugeordnet wird.
Das Upgrade zur Eigenentwicklung GenieLocker ab März 2026 markiert einen Wendepunkt. Diese Custom-Ransomware orientiert sich an den Verschlüsselungsschemata der Venus- und Trinity-Familien und unterstreicht die wachsende Professionalisierung der Angreifer.
Operative Besonderheiten
Bearlyfy unterscheidet sich von klassischen APT-Gruppen durch schnelle, weniger vorbereitete Angriffe. Ein charakteristisches Merkmal: Die Ransomware-Noten werden nicht vom Verschlüsselungsprogramm selbst generiert, sondern direkt von den Angreifern verfasst. Diese persönlichen Nachrichten sollen psychologischen Druck aufbauen und die Zahlung forcieren.
Zur Anfangsakquise nutzen die Täter vulnerable externe Dienste und fehlerhaft konfigurierte Anwendungen. Das Tool MeshAgent dient der Fernsteuerung und ermöglicht die Verschlüsselung oder Zerstörung von Daten.
Verbindungen zu anderen Akteuren
Analysten entdeckten Überschneidungen mit der Gruppe PhantomCore, die seit 2022 bekannt ist und ebenfalls russische und belarussische Ziele attackiert. Auch Kooperationen mit der Gruppe Head Mare wurden dokumentiert. Diese Verbindungen deuten darauf hin, dass es sich nicht um isolierte Cyberkriminelle handelt, sondern um ein koordiniertes Ökosystem mit Anzeichen staatlicher oder quasi-staatlicher Unterstützung.
Erfolgsquoten und finanzielle Gewinne
Die Zahlungsquote offenbart das geschäftliche Modell: Etwa 20 Prozent der Opfer zahlen die Lösegelder – eine Quote, die Bearlyfy profitable erscheinen lässt. Mit über 70 dokumentierten Angriffen und steigenden Forderungen akkumuliert sich damit ein erheblicher illegaler Cashflow.
F6 fasst die Entwicklung prägnant zusammen: Was 2025 noch von fehlender Sophistikation geprägt war, ist ein Jahr später zu einem hochgradig organisierten Bedrohungsakteur herangewachsen. Für europäische Unternehmen mit Russland-Bezug bleibt dies ein Alarmsignal.