Il gruppo pro-ucraino Bearlyfy, noto anche come Labubu, alza il livello delle proprie operazioni contro il business russo introducendo GenieLocker, un ransomware sviluppato internamente e distribuito da marzo 2026. Secondo l’analisi di F6, il collettivo ha già superato i 70 attacchi contro aziende russe dalla sua comparsa nel gennaio 2025, combinando estorsione finanziaria e sabotaggio operativo. L’adozione di tool custom segna un salto di maturità importante: Bearlyfy non dipende più da leak o builder di terze parti, ma costruisce una propria identità tecnica nel panorama ransomware. L’evoluzione non riguarda solo il malware, ma l’intero modello operativo. Le richieste iniziali di riscatto raggiungono ormai centinaia di migliaia di euro, mentre circa una vittima su cinque decide di pagare. Questo tasso di conversione, piuttosto elevato per campagne a forte componente ideologica, suggerisce che il gruppo abbia trovato un equilibrio tra pressione psicologica, danno reale ai sistemi e capacità di negoziazione. Per le imprese russe, Bearlyfy si sta trasformando da attore emergente a minaccia persistente e altamente specializzata.
Cosa leggere
Bearlyfy colpisce le aziende russe con doppio obiettivo
Il tratto distintivo di Bearlyfy è la sua natura ibrida. Il gruppo non si limita al classico modello ransomware orientato al profitto, ma integra finalità di disruption contro il tessuto imprenditoriale russo. Questo doppio binario – monetizzazione e sabotaggio – rende le operazioni particolarmente pericolose, perché il danno inflitto ai sistemi resta elevato anche quando la vittima decide di non negoziare.
Dal suo esordio nel gennaio 2025, il collettivo ha colpito oltre 70 imprese, incluse realtà industriali di grandi dimensioni. F6 descrive un impatto crescente sia in termini di downtime sia di pressione reputazionale. L’aumento delle cifre richieste nei riscatti riflette una maggiore sicurezza operativa e una migliore comprensione del valore economico dei target selezionati. Bearlyfy si muove ormai come una struttura ransomware semi-professionale con una forte matrice geopolitica.
F6 ricostruisce l’evoluzione degli strumenti di Bearlyfy
L’indagine di F6 mostra una progressione tecnica molto netta. Nelle fasi iniziali Bearlyfy utilizza LockBit 3 Black e una variante modificata di Babuk, sfruttando quindi basi di codice già note nel panorama ransomware. Questa scelta è tipica dei gruppi emergenti che puntano a operare rapidamente senza sostenere il costo di sviluppo di un malware proprietario. Da maggio 2025, in alcune intrusioni compare una versione ritoccata di PolyVice, derivata dal modello RaaS Vice Society. Questo passaggio indica una fase intermedia di sperimentazione, in cui il gruppo testa capacità di personalizzazione e adattamento del codice. Il salto decisivo arriva però nel marzo 2026, quando Bearlyfy introduce GenieLocker per i sistemi Windows, abbandonando progressivamente le dipendenze dalle famiglie precedenti.
GenieLocker segna il passaggio al ransomware proprietario
Con GenieLocker, Bearlyfy entra in una nuova fase della propria evoluzione. Il ransomware viene sviluppato internamente e mostra elementi derivati da famiglie come Venus e Trinity, soprattutto sul piano degli schemi crittografici e delle routine di protezione del codice. Gli analisti di F6 osservano una forte attenzione a tecniche anti-analisi, pensate per ostacolare reverse engineering e rilevamento automatico.
La scelta di passare a un ransomware custom non è solo tecnica, ma strategica. Significa maggiore controllo sul ciclo di sviluppo, personalizzazione dei payload in base al target e riduzione del rischio di compromissione tramite builder trapelati o YARA rule già diffuse. GenieLocker rappresenta quindi il tentativo di Bearlyfy di costruire una propria firma operativa nel mercato ransomware pro-ucraino, differenziandosi da collettivi più consolidati.
La crittografia di GenieLocker punta su robustezza e stealth
Secondo F6, GenieLocker eredita da Venus e Trinity alcune logiche di cifratura avanzata, ma introduce modifiche che ne migliorano l’autonomia. La combinazione tra routine di encryption robuste e meccanismi anti-debug rende più complessa l’analisi da parte dei team DFIR. L’obiettivo non è solo bloccare i file, ma rallentare il più possibile la risposta incident e aumentare il tempo utile alla negoziazione.
Un aspetto particolarmente rilevante è la disponibilità di un decriptatore in Python pubblicato da F6, accompagnato da esempi di file cifrati su repository GitHub. Questo elemento suggerisce che, almeno nelle prime iterazioni, il ransomware presenti ancora punti deboli sfruttabili. Tuttavia, la pubblicazione del tool di recovery non riduce la pericolosità complessiva della minaccia, che resta elevata per aziende prive di backup isolati e procedure di disaster recovery mature.
Le note di riscatto di Bearlyfy aumentano la pressione psicologica
Uno degli aspetti più peculiari di Bearlyfy è lo stile delle ransom note. Il gruppo non si limita ai classici messaggi generati automaticamente dal malware, ma utilizza anche canali alternativi di comunicazione con testi adattati al profilo della vittima. In alcuni casi i messaggi risultano estremamente sintetici e includono solo i riferimenti per la negoziazione. In altri scenari, invece, le note diventano più lunghe e assumono toni apertamente derisori, con riferimenti ideologici e firme come Labubu. Questa personalizzazione amplifica la pressione emotiva sul management e aumenta la percezione di essere finiti nel mirino di un attore motivato non solo dal profitto. La componente psicologica è parte integrante della strategia di conversione al pagamento.
Collaborazioni con altri gruppi pro-ucraini rafforzano le capacità
L’analisi di F6 evidenzia che Bearlyfy mantiene collegamenti con altri collettivi pro-ucraini più maturi, tra cui Head Mare. Queste relazioni sembrano aver favorito una crescita rapida delle capacità offensive del gruppo, soprattutto nei primi mesi in cui le operazioni apparivano ancora sperimentali e poco uniformi. Nonostante le collaborazioni, Bearlyfy ha progressivamente costruito un proprio stile tecnico e comunicativo. Il passaggio a GenieLocker rafforza ulteriormente questa identità. La combinazione di cooperazione tattica e autonomia nello sviluppo del malware è un modello che potrebbe renderlo sempre più competitivo all’interno dell’ecosistema ransomware geopolitico.
F6 pubblica strumenti difensivi e intelligence tecnica
La risposta di F6 non si limita al report analitico. La società rende disponibile un decriptatore Python, esempi di file compromessi e indicatori tecnici utili per la detection. Questo approccio consente ai team SOC e IR di accelerare le attività di triage e, in alcuni casi, di recuperare i dati senza passare dalla negoziazione con gli attaccanti. Il laboratorio di criminologia digitale guidato da Anton Velichko sottolinea come Bearlyfy sia passato in poco più di un anno da attore immaturo a minaccia concreta per il business russo. La disponibilità di tooling difensivo riduce parzialmente il rischio, ma la traiettoria del gruppo lascia prevedere iterazioni future di GenieLocker più robuste e meno facilmente reversibili.
Bearlyfy prepara l’espansione delle operazioni in Russia
Tutti gli indicatori suggeriscono che Bearlyfy sia in piena fase di espansione. L’adozione di GenieLocker segnala una volontà precisa di aumentare autonomia, scalabilità e impatto. Il focus resta fortemente orientato verso il mercato russo, dove il gruppo ha già dimostrato capacità di colpire aziende di settori differenti con richieste economiche elevate. Secondo F6, le future campagne potrebbero coinvolgere un numero ancora maggiore di target, con una possibile estensione a supply chain e grandi gruppi industriali. Per le imprese russe diventa quindi essenziale rafforzare la segmentazione di rete, implementare backup offline, monitorare i processi Windows anomali e aggiornare le playbook IR per scenari ransomware a matrice geopolitica. Bearlyfy non appare come una minaccia temporanea, ma come un attore destinato a consolidarsi.
Image placeholder
Approfondimento sui ransomware geopolitici pro-ucraini e sull’evoluzione dei malware custom contro le aziende russe
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
