Bearlyfyとして知られる親ウクライナハッカーグループは、過去1年間でロシア企業に対して70以上のサイバー攻撃を実行しており、新たに開発されたランサムウェアツールでキャンペーンをエスカレートさせているとセキュリティ研究者が発見しました。
Bearlyfyは2025年1月に初めて現れ、当初はロシアの小規模企業を標的にしていました。初期の活動では、攻撃者は限定的なスキルを示し、ロシアのサイバーセキュリティ企業F6によるレポートによれば、わずか数千ドルの控えめな身代金を要求していました。
「この1年間で、このグループは大規模なロシア企業にとって本当の悪夢になった」と研究者は述べており、最近の攻撃ではグループの身代金要求が数十万ドルに増加したと付け加えました。
研究者によると、このグループの主な目標は財政的および政治的です。ランサムウェアの支払いを通じて収入を生成しながら、ロシア企業に「最大限の損害」を引き起こしているようです。
F6は、大体5人中1人の被害者が最終的に身代金を支払うと推定しています。
このグループは最近、独自のマルウェアを配備し始め、その運用の新しい段階を示しています。3月初旬以来、Bearlyfyはグループ自体によって開発されたと研究者が信じているGenieLockerとして知られるカスタムビルドのWindowsランサムウェア変種を使用しています。
多くのランサムウェア活動とは異なり、Bearlyfyのマルウェアは常に自動的に身代金要求文を生成するとは限りません。代わりに、攻撃者は時々連絡先を含む短い指示から被害者企業をあざ笑う長いメッセージに至るまで、独自のメッセージを手動で作成します。
以前のBearlyfyの攻撃は、漏洩したコードから派生した既存のランサムウェアツールに大きく依存していました。例えば、Bearlyfyは2022年にオンラインで漏洩したLockBitランサムウェアアズアサービスプラットフォーム用のビルダーで作成されたLockBit 3 Blackをよく使用していました。Linuxシステムでは、グループは公開された漏洩ソースコードに基づくBabukランサムウェアの修正版を配備しました。
F6はまた、Head Mareなどのより経験豊富な親ウクライナグループとBearlyfyの間のコラボレーションを観察していますが、グループは独自の独特の運用スタイルを維持していると研究者は述べています。
西側の研究者はBearlyfyの活動について報告していません。おそらく多くがロシアネットワークへの可視性を欠いているからです。
翻訳元: https://therecord.media/ransomware-ukraine-russia-bearlyfy
