Dentro Bearlyfy: gli hacker ucraini che stanno conducendo una guerra ransomware contro le aziende russe
Sottotitolo: Cybercriminali filo-ucraini intensificano gli attacchi contro le imprese russe con il loro ransomware GenieLocker, lasciando dietro di sé devastazione e paura.
È iniziato come un sussurro nei forum del dark web: un nuovo gruppo, Bearlyfy, che prendeva di mira le aziende russe con sete di vendetta. In poco più di un anno, quel sussurro è diventato un ruggito. Le imprese russe-dalle piccole realtà ai grandi player-si trovano ora davanti a un avversario implacabile e imprevedibile, armato di ransomware su misura e con un gusto per il caos e per il denaro. Il risultato? Una marea crescente di dati cifrati, sistemi in frantumi e richieste di riscatto che arrivano in alto quanto la posta in gioco in questo conflitto digitale.
Bearlyfy, noto anche con l’alias Labubu, è emerso all’inizio del 2025 diventando uno dei gruppi di hacker filo-ucraini più prolifici nel panorama delle minacce in Russia. A differenza delle tradizionali gang ransomware concentrate esclusivamente sul profitto, Bearlyfy persegue una doppia missione: drenare risorse finanziarie dalle aziende russe e, al contempo, infliggere la massima interruzione operativa-un mix inconfondibile di estorsione e sabotaggio.
La società russa di cybersecurity F6 ha tracciato per la prima volta le attività di Bearlyfy nel settembre 2025, rilevando il loro uso iniziale di ceppi ransomware ben noti come LockBit 3 (Black) e Babuk. Il gruppo ha inizialmente preso di mira aziende più piccole, ma ha rapidamente ampliato le operazioni, con note di riscatto che chiedevano fino a 80.000 € (circa 92.100 $) e, più recentemente, somme ancora più elevate.
Entro la metà del 2025, il “manuale” di Bearlyfy si è ampliato: hanno iniziato a distribuire una versione modificata di PolyVice, un ransomware collegato al famigerato gruppo Vice Society. Questo ha segnato un passaggio verso attacchi più sofisticati, sfruttando famiglie di malware di terze parti come Hello Kitty, Zeppelin, RedAlert e Rhysida. Le analisi hanno inoltre rivelato sovrapposizioni operative con altri gruppi filo-ucraini, tra cui PhantomCore e Head Mare, suggerendo una campagna poco coordinata contro obiettivi russi e bielorussi.
Ciò che distingue Bearlyfy è la metodologia d’attacco. Ottengono l’accesso iniziale sfruttando servizi o applicazioni esterne vulnerabili, quindi distribuiscono strumenti di accesso remoto come MeshAgent per cifrare, distruggere o alterare i dati. A differenza dello stile lento e furtivo di gruppi come PhantomCore, Bearlyfy colpisce in modo rapido e violento, privilegiando la cifratura immediata rispetto a una lunga ricognizione. In modo significativo, rompono con la tradizione ransomware: invece di note di riscatto automatizzate, Bearlyfy ne redige di proprie, spesso usando tattiche psicologiche per spingere le vittime a pagare.
L’evoluzione più importante finora è arrivata nel marzo 2026. Bearlyfy ha svelato un ransomware proprietario, GenieLocker, progettato per sistemi Windows e ispirato alle tecniche di cifratura delle famiglie Venus e Trinity. Ora il gruppo controlla ogni aspetto dell’attacco, dall’infezione alla negoziazione, e le richieste di riscatto sono salite a centinaia di migliaia di dollari. I dati di F6 mostrano che, nonostante i rischi, circa una vittima su cinque cede a queste richieste-alimentando ulteriori attacchi in questa guerra cibernetica in corso.
L’ascesa meteoritica di Bearlyfy è un monito netto: i confini tra hacktivismo, cybercrime e conflitto geopolitico si stanno sfumando. Man mano che le loro tattiche evolvono e le loro ambizioni crescono, le aziende russe-e il mondo più ampio della cybersecurity-devono prepararsi a una nuova era di guerra digitale, in cui nessun settore è davvero al sicuro.
WIKICROOK
- Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
- Accesso iniziale: L’accesso iniziale è il metodo o la vulnerabilità che gli attaccanti usano per ottenere il primo ingresso nella rete o nel sistema di un bersaglio, dando avvio a un attacco informatico.
- Strumento di accesso remoto: Uno strumento di accesso remoto consente agli utenti di controllare computer via internet-utile per il supporto IT, ma anche un obiettivo per gli attaccanti informatici.
- Schema di cifratura: Uno schema di cifratura è un metodo che trasforma i dati in un codice illeggibile, garantendo che solo gli utenti autorizzati possano accedere alle informazioni originali.
- APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.




