Bearlyfy Hits Russian Firms with Custom GenieLocker Ransomware

1 minute de lecture

Mis à jour : March 27, 2026

Offensive cybernétique : Le groupe Bearlyfy cible les entreprises russes avec GenieLocker

Le groupe pro-ukrainien Bearlyfy (alias Labubu) mène une campagne active contre des entreprises russes depuis début 2025. Initialement axé sur l’utilisation de souches existantes (LockBit 3, Babuk, PolyVice), le groupe a récemment développé son propre ransomware baptisé GenieLocker, dont le mécanisme de chiffrement s’inspire des familles Venus et Trinity. Avec plus de 70 attaques à son actif, le groupe adopte une double stratégie d’extorsion financière et de sabotage.

Points clés :

Évolution tactique : Le groupe a gagné en sophistication, passant d’attaques opportunistes contre des PME à des opérations visant de grandes entreprises.
Mode opératoire : Accès initial via l’exploitation de services externes et d’applications vulnérables, suivi du déploiement de MeshAgent pour la persistance et le contrôle à distance.
Absence d’automatisation : Contrairement aux ransomwares classiques, les demandes de rançon ne sont pas générées par le logiciel, mais rédigées manuellement par les attaquants pour accentuer la pression psychologique.
Alliances : Des recoupements ont été observés avec les groupes PhantomCore et Head Mare.

Vulnérabilités :

L’article ne mentionne pas de CVE spécifiques, mais souligne que l’entrée initiale repose sur l’exploitation systématique des services exposés sur Internet et des vulnérabilités d’applications.

Recommandations :

Gestion des surfaces d’exposition : Auditer et restreindre rigoureusement l’accès aux services exposés sur Internet (VPN, portails RDP, interfaces d’administration).
Gestion des vulnérabilités : Appliquer une politique stricte de mise à jour (patch management) pour toutes les applications accessibles depuis l’extérieur.
Détection d’outils d’administration à distance : Surveiller et détecter l’utilisation non autorisée d’outils de gestion légitimes (comme MeshAgent) souvent détournés par les attaquants pour maintenir leur présence.
Stratégie de sauvegarde : Maintenir des sauvegardes immuables et déconnectées du réseau principal pour limiter l’impact des activités de chiffrement.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Bearlyfy Hits Russian Firms with Custom GenieLocker Ransomware

Offensive cybernétique : Le groupe Bearlyfy cible les entreprises russes avec GenieLocker

Partager sur

Vous pourriez aimer

Windows 11 KB5079391 update rolls out Smart App Control improvements

Optimisation de la sécurité et stabilité pour Windows 11

We Are At War

Cybersécurité : L’ère des conflits hybrides

TeamPCP Supply Chain Campaign: Update 002 - Telnyx PyPI Compromise, Vect Ransomware Mass Affiliate Program, and First Named Victim Claim, (Fri, Mar 27th)

Escalade de la campagne TeamPCP : Compromissions PyPI et alliance avec le ransomware Vect

TeamPCP Pushes Malicious Telnyx Versions to PyPI, Hides Stealer in WAV Files

Compromission de la supply chain Python : Le package Telnyx piégé par TeamPCP