أفادت تقارير استخباراتية في مجال الأمن السيبراني أن مجموعة Bearlyfy الموالية لأوكرانيا، والمعروفة أيضاً باسم Labubu، شنت أكثر من 70 هجوماً إلكترونياً ضد شركات روسية منذ ظهورها في يناير 2025، مستخدمة في أحدث عملياتها برمجية فدية مخصصة لنظام ويندوز تحمل اسم GenieLocker.
خلفية المجموعة وتطور نشاطها
ظهرت Bearlyfy لأول مرة في مشهد التهديدات الإلكترونية مطلع عام 2025، حيث ركزت هجماتها الأولى على شركات صغيرة باستخدام أدوات تشفير مرتبطة بعائلات LockBit 3 (Black) و Babuk، قبل أن تبدأ في رفع سقف مطالباتها المالية لتصل إلى نحو 80 ألف يورو. وبحلول أغسطس 2025، كانت المجموعة قد أعلنت مسؤوليتها عن استهداف ما لا يقل عن 30 ضحية.
وفي مايو من نفس العام، استخدمت المجموعة نسخة معدلة من برمجية PolyVice المرتبطة بجماعة Vice Society، والتي اشتهرت بتوزيع برمجيات فدية مثل Hello Kitty وZeppelin وRedAlert وRhysida.
أدوات وتقنيات الهجوم
تشير تحليلات شركة الأمن الروسية F6 إلى أن المجموعة تعتمد على أسلوب مزدوج يجمع بين الابتزاز المالي والتخريب. وتتمثل آلية الهجوم في استغلال خدمات خارجية وتطبيقات ضعيفة للحصول على وصول أولي، ثم نشر أدوات مثل MeshAgent لتمكين الوصول عن بُعد وتنفيذ عمليات التشفير أو التدمير أو تعديل البيانات.
وعلى عكس مجموعة PhantomCore التي تنفذ حملات متقدمة بأسلوب APT يركز على الاستطلاع والاختراق المستمر وسرقة البيانات، فإن Bearlyfy تتميز بهجمات سريعة التنفيذ مع تحضير محدود، حيث يتم تشفير البيانات بسرعة كبيرة دون ترك وقت كافٍ للضحايا للاستجابة.
السمات المميزة للهجمات
من أبرز سمات هجمات Bearlyfy أن ملاحظات الفدية لا تُنشأ تلقائياً بواسطة البرمجية نفسها، بل يقوم المهاجمون بصياغتها يدوياً وإرسالها بطرق مختلفة، سواء عبر تفاصيل اتصال مباشرة أو رسائل مطولة تهدف إلى ممارسة ضغط نفسي على الضحايا لإجبارهم على الدفع.
وتشير بيانات F6 إلى أن نحو 20% من الضحايا يرضخون لمطالب المجموعة ويدفعون الفدية، وهو ما وفر لها مصدراً غير مشروع لتحقيق أرباح متزايدة، حيث ارتفعت المطالبات لاحقاً لتصل إلى مئات الآلاف من الدولارات.
GenieLocker: مرحلة جديدة من التصعيد
منذ مارس 2026، بدأت المجموعة باستخدام برمجية الفدية الخاصة بها GenieLocker لاستهداف أجهزة ويندوز. ويستند نظام التشفير فيها إلى عائلات Venus/Trinity، ما يمنحها قدرة متقدمة على تشفير البيانات بسرعة وفعالية.
ويُعد هذا التحول إلى تطوير برمجية فدية مخصصة دليلاً على تطور المجموعة من مرحلة التجريب إلى مستوى أكثر احترافية، حيث أصبحت تشكل تهديداً حقيقياً للشركات الروسية بما في ذلك المؤسسات الكبرى.
