Поделиться
Bearlyfy: эволюция новой группировки вымогателей и ее связь с PhantomCore
Специалисты F6 Threat Intelligence и Лаборатории цифровой криминалистики и исследования вредоносного кода F6 исследовали динамику развития группировки вымогателей Bearlyfy и ее TTPs. Об этом CNews сообщили представители F6.
В последние годы программы-вымогатели остаются одной из наиболее значимых киберугроз, эволюционируя как по технической составляющей, так и по модели атак. Одним из новых участников стала группировка Bearlyfy, впервые зафиксированная в начале 2025 года. Несмотря на использование уже известных семейств программ-вымогателей, таких как LockBit 3 (Black) и Babuk, группировка демонстрирует собственные подходы к атакам, постепенно увеличивая масштабы своей деятельности.
Исследование, проведенное специалистами F6 Threat Intelligence, позволило проследить динамику развития Bearlyfy: от первых атак на малые компании с относительно скромными требованиями выкупа до сложных кампаний против крупных промышленных предприятий.
Анализ тактик, техник и процедур (TTPs) выявил как уникальные черты группировки, так и пересечения с инфраструктурой другого известного игрока — PhantomCore. PhantomCore — группа, атакующая российские и белорусские компании с 2022 г., впервые обнаруженная специалистами F6 в 2024 г. Группа, вероятно, действует в интересах Украины, поскольку именно оттуда были впервые загружены тестовые образцы самописных ВПО. В апрельской атаке группа Bearlyfy использовала MeshAgent. Анализ семпла позволил выявить список серверов: часть указанной инфраструктуры использовалась группировкой PhantomCore при проведении атаки на российскую промышленную компанию в марте 2025 г. IP-адрес, используемый в июньской атаке на консалтинговую компанию, также связан с одной из атак PhantomCore.
Bearlyfy использует модель атаки с минимальной фазой подготовки и прицельным фокусом на достижение немедленного эффекта. Начальный доступ осуществляется через эксплуатацию внешних сервисов и уязвимых приложений. Основной инструментарий направлен на шифрование, уничтожение или модификацию данных. Атаки развиваются быстро, с применением стандартных средств lateral movement и RMM-инструментов.
Часть инструментов группировки — модифицированные версии утилит с открытым исходным кодом. Записки с требованием выкупа создаются не программами-вымогателями, а непосредственно атакующими.
Суммы выкупа в зависимости от размера компании варьируются от нескольких тысяч до десятков тысяч евро. В последней зафиксированной атаке злоумышленники запросили 80 тыс. евро в криптовалюте. По оценкам специалистов F6, его выплачивает каждая пятая жертва.
Короткая ссылка
