Grupo pró-Ucrânia associado a mais de 70 ataques passou a empregar um locker próprio para Windows, com foco em criptografia rápida, sabotagem e extorsão.
| Componente | Endpoints Windows de empresas russas atingidos pelo ransomware personalizado GenieLocker, associado ao grupo Bearlyfy, também conhecido como Labubu. |
| Vetor | Acesso inicial por exploração de serviços externos e aplicações vulneráveis, seguido pelo uso de ferramentas como MeshAgent para acesso remoto e preparação da criptografia. |
| Impacto | Criptografia, destruição ou modificação de dados em ataques de execução rápida, com extorsão financeira e objetivo declarado de sabotagem contra negócios russos. |
| Prioridade | Reduzir exposição de serviços externos, corrigir aplicações vulneráveis, investigar uso não autorizado de ferramentas de acesso remoto e preparar contenção rápida de endpoints Windows. |
| Artefatos | Uso anterior de encryptors associados a LockBit 3 Black, Babuk e uma versão modificada de PolyVice; mudança recente para o ransomware próprio GenieLocker desde março de 2026. |
| Alvos | Empresas russas, começando por organizações menores e evoluindo para vítimas maiores, com mais de 70 ataques atribuídos desde janeiro de 2025. |
Bearlyfy, também rastreado como Labubu, aparece como um grupo pró-Ucrânia voltado a ataques contra empresas russas desde janeiro de 2025. A atividade atribuída ao grupo ultrapassa 70 incidentes e combina extorsão financeira com sabotagem operacional. O padrão descrito não se limita a indisponibilidade por criptografia: as intrusões também podem envolver destruição ou modificação de dados, dependendo do acesso obtido e dos objetivos do operador no ambiente comprometido.
A alteração técnica mais importante é a adoção do GenieLocker, uma família personalizada de ransomware para Windows usada desde o início de março de 2026. Antes disso, o grupo alternou encryptors ligados a LockBit 3 Black e Babuk, além de uma versão modificada de PolyVice, família associada ao ecossistema de Vice Society. Essa evolução indica que o grupo saiu de um estágio de experimentação com lockers de terceiros para um modelo com ferramenta própria, mantendo a lógica de ataques rápidos e com pouca preparação visível.
A cadeia descrita começa com acesso inicial por serviços expostos e aplicações vulneráveis. Esse ponto é relevante para defesa porque a atividade não depende, pelo material analisado, de um vetor único como phishing, macro ou credencial vazada. O elo comum é a exposição externa explorável: aplicações sem correção, serviços publicados indevidamente ou superfícies que permitem ao operador transformar uma falha inicial em sessão remota dentro da rede da vítima.
Após o acesso, os operadores utilizam ferramentas como MeshAgent para facilitar controle remoto. Em um cenário defensivo, esse detalhe deve ser tratado com cuidado: ferramentas de administração remota podem existir de forma legítima, mas sua instalação fora de janelas de mudança, em hosts incomuns ou por contas que não pertencem à operação de TI é um sinal forte de abuso. No fluxo atribuído ao Bearlyfy, esse controle serve como ponte para ações de criptografia, destruição ou alteração de dados.
O GenieLocker representa a etapa de impacto. O esquema de criptografia é descrito como inspirado em famílias Venus e Trinity, mas o contexto não fornece detalhes suficientes para afirmar algoritmo, extensão de arquivo, formato de chave, rotina de enumeração ou mecanismo de propagação. A característica operacional mais consistente é a separação entre a criptografia e a comunicação de extorsão: os operadores recorrem a mensagens próprias ou informações de contato para pressionar a vítima, em vez de depender apenas de uma nota padronizada criada pelo malware.
A superfície principal envolve empresas russas com endpoints Windows e serviços externos exploráveis. O histórico mostra progressão de alvos menores para empresas maiores, com pedidos de resgate que passaram de dezenas de milhares de euros para valores na casa de centenas de milhares de dólares. Esse aumento muda a prioridade de defesa: a atividade deve ser tratada como ameaça direcionada a continuidade de negócio, não apenas como infecção oportunista em estáção isolada.
Há sobreposição de ferramentas e infraestrutura com PhantomCore, grupo descrito como alinhado a interesses ucranianos e ativo contra empresas russas e bielorrussas desde 2022. A comparação ajuda a delimitar comportamento: PhantomCore é associado a campanhas de estilo APT, com reconhecimento, persistência e exfiltração como prioridades, enquanto Bearlyfy aparece com ataques mais rápidos, focados em criptografia e dano. Também há menção de colaboração com Head Mare, mas o contexto não permite inferir compartilhamento específico de código, credenciais ou infraestrutura.
- Empresas russas com serviços externos ou aplicações vulneráveis expostas à internet.
- Endpoints Windows que possam executar o locker
GenieLockerapós acesso remoto do operador. - Ambientes em que ferramentas de acesso remoto, como
MeshAgent, possam ser instaladas ou usadas sem governança central. - Organizações com baixa capacidade de segmentação, inventário incompleto e resposta lenta a criptografia em massa.
A busca defensiva deve começar pela borda. Registros de aplicações publicadas, VPNs, portais de acesso remoto, servidores expostos e serviços de administração devem ser correlacionados com eventos de autenticação anômalos e criação de processos em hosts internos. Como o contexto aponta exploração de serviços externos e aplicações vulneráveis, uma linha do tempo útil combina primeiro acesso, execução remota, criação de contas ou sessões administrativas e, por fim, atividade de criptografia ou alteração em massa de arquivos.
No endpoint, a presença de MeshAgent precisa ser comparada com inventário aprovado. O sinal isolado não prova intrusão, mas a combinação de instalação recente, execução por usuário inesperado, comunicação com destino incomum e proximidade temporal com alteração em massa de arquivos justifica contenção. Também é importante procurar ferramentas de encryptor usadas anteriormente pelo grupo, sem assumir que LockBit 3 Black, Babuk ou PolyVice estarão presentes nos incidentes mais recentes, já que o GenieLocker tornou-se o artefato mais relevante a partir de março de 2026.
Em ambientes com EDR e SIEM, a detecção deve privilegiar comportamento: enumeração ampla de diretórios, abertura sequencial de muitos arquivos, renomeação em massa, operações de escrita com alta taxa, parada inesperada de serviços e exclusão ou degradação de mecanismos de recuperação. O contexto não fornece IoCs de rede, hashes ou nomes de arquivos; portanto, uma estratégia baseada apenas em assinaturas seria insuficiente.
- Novas sessões administrativas após eventos em serviços externos ou aplicações vulneráveis.
- Instalação ou execução não autorizada de
MeshAgentem servidores e estáções fora do padrão de TI. - Alteração, criptografia ou destruição em massa de arquivos em curto intervalo de tempo.
- Comunicações de extorsão separadas do binário de ransomware, incluindo mensagens manuais ou apenas dados de contato.
- Histórico de uso de encryptors ligados a LockBit 3 Black, Babuk e PolyVice em incidentes anteriores do mesmo grupo.
A resposta deve priorizar contenção de acesso remoto e redução da superfície externa. Serviços publicados precisam ser inventariados, corrigidos e restringidos por controles de autenticação forte, segmentação e regras de exposição mínima. Aplicações vulneráveis na borda devem entrar em fluxo de correção emergencial quando exploráveis a partir da internet. Onde a correção imediata não for possível, a mitigação deve incluir bloqueio temporário, filtragem por origem confiável ou isolamento até validação técnica.
Em endpoints Windows, a organização deve revisar permissões administrativas, bloquear instalação não autorizada de ferramentas de acesso remoto e monitorar comportamento de criptografia em massa. Backups devem ser testados de forma prática, com restauração validada e cópias protegidas contra alteração pelo mesmo domínio administrativo comprometido. Como o impacto atribuído inclui destruição e modificação de dados, a simples existência de backup não basta: é necessário verificar integridade, segregação e tempo realista de recuperação.
A contenção de um incidente compatível com Bearlyfy deve tratar o acesso inicial como ainda ativo até prova em contrário. Isolar hosts com sinais de criptografia, revogar sessões remotas suspeitas, preservar logs de borda e endpoint, revisar contas usadas no período e bloquear infraestrutura de administração desconhecida são medidas prioritárias. A comunicação de extorsão não deve guiar a investigação técnica; ela é apenas uma etapa de pressão. A investigação deve reconstruir a cadeia desde o primeiro serviço explorado até o endpoint que iniciou a criptografia.
- Inventariar serviços externos e corrigir aplicações vulneráveis com exposição à internet.
- Restringir e auditar ferramentas de acesso remoto, especialmente instalações recentes de
MeshAgentfora do padrão aprovado. - Aplicar segmentação para limitar alcance de contas administrativas e impedir criptografia lateral em compartilhamentos críticos.
- Validar restauração de backups protegidos contra alteração pelo ambiente comprometido.
- Criar detecções comportamentais para escrita massiva, renomeação de arquivos e comunicação manual de extorsão após impacto.
0 Comentários