Da fastidio amatoriale a flagello aziendale: la guerra ransomware di Bearlyfy contro la Russia
Sottotitolo: Il gruppo di hacker pro-Ucraina Bearlyfy intensifica gli attacchi contro le aziende russe, scatenando ransomware personalizzato e provocazioni politiche.
Nel mondo oscuro dei conflitti informatici, un nome si è evoluto rapidamente da piccolo irritante a minaccia di primo piano: Bearlyfy. Quello che era iniziato come un collettivo di hacker pro-ucraino alle prime armi, impegnato a colpire piccole imprese russe, è esploso in una sofisticata campagna ransomware che oggi scuote le fondamenta del settore corporate russo con malware su misura e una marcata connotazione politica.
L’offensiva digitale di Bearlyfy è iniziata in sordina all’inizio del 2025, con operatori che lanciavano attacchi modesti contro piccole realtà imprenditoriali russe. All’inizio, le loro tattiche erano grezze: sfruttavano strumenti ransomware pronti all’uso e chiedevano somme contenute. Ma secondo la società russa di cybersecurity F6, la rapida evoluzione del gruppo lo ha reso un “vero incubo” per le grandi aziende, sia per scala sia per sofisticazione.
Il guadagno economico è solo una parte della motivazione di Bearlyfy. Le operazioni del gruppo sono intrise di simbolismo politico: i messaggi alle vittime talvolta provocano o ridicolizzano le aziende russe, e la scelta dei bersagli sembra calcolata per massimizzare la disruption. Questa miscela di attivismo e cybercriminalità rientra in una tendenza più ampia di gruppi “hacktivist” che si allineano a cause geopolitiche.
Dal punto di vista tecnico, l’arsenale di Bearlyfy è diventato più temibile. I primi attacchi si basavano su malware riciclato-come LockBit 3 Black e una variante Linux basata sul codice Babuk trapelato-strumenti ampiamente circolati tra i cybercriminali dopo fughe di notizie di alto profilo. Ma a marzo il gruppo ha svelato GenieLocker, un ransomware Windows personalizzato che si ritiene sviluppato internamente. Questo segna una nuova fase: Bearlyfy non si limita più a riciclare il lavoro altrui, ma innova attivamente nello spazio del malware.
A differenza delle campagne ransomware automatizzate, Bearlyfy talvolta redige a mano le note di riscatto, che variano da istruzioni secche a elaborate invettive canzonatorie. Questo tocco personale sottolinea il loro duplice scopo: estorsione e guerra psicologica. I dati di F6 suggeriscono che circa una vittima su cinque cede alla pressione e paga-potenzialmente garantendo al gruppo entrate significative per finanziare operazioni future.
La traiettoria di Bearlyfy è segnata anche dalla collaborazione. Secondo quanto riportato, il gruppo ha lavorato con entità pro-ucraine più esperte come Head Mare, condividendo intelligence e talvolta tattiche, pur mantenendo un proprio stile operativo. Eppure, nonostante l’impatto crescente, i ricercatori occidentali di cybersicurezza hanno in gran parte trascurato le attività di Bearlyfy, forse a causa di un accesso limitato alle reti russe.
Man mano che la guerra informatica continua a sfumare i confini tra attivismo, spionaggio e criminalità organizzata, l’evoluzione di Bearlyfy è un monito netto: le schermaglie digitali di oggi possono intensificarsi rapidamente, con malware su misura e agende politiche che trasformano il mondo corporate in un campo di battaglia. Le organizzazioni russe-e chi le difende-sono ora avvisate: l’era dell’hacktivismo amatoriale è finita, e la posta in gioco non fa che aumentare.
WIKICROOK
- Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
- Codice sorgente trapelato: Il codice sorgente trapelato è l’esposizione non autorizzata del codice di un software, che consente ai cybercriminali di sfruttare vulnerabilità o sviluppare nuove minacce malware.
- Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
- Hacktivist: Un hacktivist è un attivista che utilizza tecniche di hacking per sostenere cause politiche o sociali, spesso tramite la divulgazione di informazioni sensibili o l’interruzione di sistemi.
- Malware builder: Un malware builder è uno strumento che consente agli attaccanti di generare rapidamente malware personalizzato, rendendo più facile lanciare cyberattacchi diversificati e sofisticati.




