Nach Darstellung von F6 hat sich Bearlyfy innerhalb eines Jahres von einer experimentierenden Gruppierung zu einer ernsten Bedrohung für russische Unternehmen entwickelt – einschließlich großer Konzerne. In der Anfangsphase hätten die Mitglieder noch wenig Raffinesse gezeigt und sichtlich mit verschiedenen Techniken und Werkzeugsätzen experimentiert.

Ab Mai 2025 setzte die Gruppe zusätzlich eine modifizierte Version von PolyVice ein, einer Ransomware-Familie, die Vice Society (auch als DEV-0832 oder Vanilla Tempest bekannt) zugeschrieben wird. Diese Gruppe ist dafür bekannt, in ihren Angriffen Locker von Dritten wie Hello Kitty, Zeppelin, RedAlert und Rhysida zu verbreiten.

Die Analyse von Werkzeugen und Infrastruktur zeigt laut F6 Überschneidungen mit PhantomCore, einer weiteren Gruppe, die mutmaßlich im ukrainischen Interesse agiert und seit 2022 russische und belarussische Unternehmen angreift. Darüber hinaus soll Bearlyfy mit Head Mare zusammengearbeitet haben.

Den ersten Zugang verschafft sich die Gruppe über die Ausnutzung externer Dienste und verwundbarer Anwendungen. Anschließend kommen Werkzeuge wie MeshAgent zum Einsatz, um Fernzugriff zu ermöglichen und Daten zu verschlüsseln, zu zerstören oder zu verändern. Im Gegensatz dazu führt PhantomCore Kampagnen nach Art von APT-Gruppen durch, bei denen Aufklärung, Persistenz und Datenabfluss im Vordergrund stehen.

Bearlyfy zeichne sich durch schnelle Angriffe mit minimaler Vorbereitung und rascher Datenverschlüsselung aus, so F6. Eine Besonderheit: Die Lösegeldforderungen werden nicht von der Ransomware selbst erzeugt, sondern direkt von den Angreifern verfasst. Diese teilen den Opfern entweder nur Kontaktdaten mit oder versenden ausführliche Nachrichten, die psychischen Druck aufbauen und zur Zahlung zwingen sollen.

Die Angriffe haben sich für die Gruppe als Einnahmequelle erwiesen. Nach Daten von F6 zahlt etwa jedes fünfte Opfer das geforderte Lösegeld. Die anfänglichen Forderungen sollen inzwischen weiter gestiegen sein und mehrere Hunderttausend US-Dollar erreichen.

Die seit Anfang März 2026 eingesetzte GenieLocker-Familie zielt auf Windows-Endpunkte. Ihr Verschlüsselungsverfahren ist laut F6 an die Ransomware-Familien Venus und Trinity angelehnt.