Grupo Bearlyfy intensifica ataques contra empresas rusas con ransomware GenieLocker

Introducción

En el panorama actual de ciberamenazas, la atribución de ataques cibernéticos a grupos con motivaciones geopolíticas ha cobrado especial relevancia. Desde enero de 2025, el colectivo pro-ucraniano Bearlyfy —también conocido con el alias Labubu— ha escalado su actividad ofensiva contra organizaciones rusas, consolidándose como un actor clave en la guerra híbrida digital. En los últimos meses, sus campañas han destacado por el despliegue de una variante personalizada de ransomware para entornos Windows, identificada como GenieLocker, con la que han perpetrado más de 70 ataques documentados. Este artículo explora en profundidad las tácticas, técnicas y procedimientos (TTP), los riesgos asociados y las implicaciones de seguridad para el sector empresarial.

Contexto del Incidente o Vulnerabilidad

Bearlyfy emergió en el ciberespacio a principios de 2025, alineándose explícitamente con intereses pro-ucranianos en el contexto del conflicto con Rusia. La motivación principal del grupo es doble: por un lado, buscan causar el mayor perjuicio económico y operativo posible a compañías rusas; por otro, persiguen fines propagandísticos y de desestabilización. Sus objetivos han abarcado sectores críticos como energía, finanzas, logística y tecnologías de la información, evidenciando una selección estratégica para maximizar el impacto y la visibilidad de sus operaciones.

Detalles Técnicos: TTP, CVE y Herramientas

La última oleada de ataques se ha caracterizado por el uso de GenieLocker, un ransomware de desarrollo propio, diseñado específicamente para sistemas Windows. Según los análisis de firmas de ciberseguridad, GenieLocker es distribuido principalmente mediante campañas de spear phishing, aprovechando archivos adjuntos maliciosos y enlaces comprometidos. En algunos casos se ha detectado la explotación de vulnerabilidades conocidas (CVE-2024-21412, CVE-2023-23397) en servicios expuestos de Microsoft Exchange y RDP para el acceso inicial.

Una vez dentro del entorno, Bearlyfy recurre a herramientas de post-explotación como Cobalt Strike y Metasploit para el movimiento lateral, escalado de privilegios y persistencia. El ransomware emplea cifrado AES-256 para bloquear archivos y deja notas de rescate en ruso, exigiendo pagos en criptomonedas. Los indicadores de compromiso (IoC) asociados incluyen hashes de archivos, direcciones IP de C2 en Ucrania y Europa del Este, y patrones de tráfico anómalos asociados a GenieLocker.

En términos de MITRE ATT&CK, las técnicas predominantes son:

– T1566.001: Spearphishing Attachment
– T1190: Exploit Public-Facing Application
– T1059: Command and Scripting Interpreter
– T1071: Application Layer Protocol (para exfiltración y C2)
– T1486: Data Encrypted for Impact

Impacto y Riesgos

Hasta la fecha, se estima que Bearlyfy ha comprometido más de 70 organizaciones rusas, con pérdidas económicas que, según fuentes consultadas, podrían superar los 10 millones de euros. El daño no se limita al cifrado de datos; en varias ocasiones, el grupo ha filtrado información sensible en foros clandestinos, aumentando el riesgo de sanciones regulatorias y afectación reputacional. La sofisticación de GenieLocker dificulta la recuperación de los sistemas afectados sin recurrir al pago del rescate, y la rápida proliferación de las campañas eleva el riesgo de infección secundaria a través de la cadena de suministro.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo ante ataques similares, se recomienda:

– Actualizar todos los sistemas y aplicaciones, prestando especial atención a las vulnerabilidades CVE-2024-21412 y CVE-2023-23397.
– Implementar autenticación multifactor (MFA) en todos los accesos remotos.
– Desplegar soluciones EDR con capacidad de detección de ransomware y herramientas de post-explotación.
– Segmentar redes, limitando el movimiento lateral mediante políticas de microsegmentación.
– Realizar backups regulares y mantener copias offline.
– Monitorizar IoC asociados y establecer reglas de detección específicas para GenieLocker y comportamientos relacionados.

Opinión de Expertos

Analistas de ciberinteligencia como Mandiant y Group-IB advierten de la profesionalización de grupos hacktivistas en escenarios bélicos. “El caso de Bearlyfy subraya la evolución de los actores pro-ucranianos, que ya no se limitan a ataques de denegación de servicio, sino que emplean ransomware personalizado y técnicas avanzadas de exfiltración”, señala un experto de Group-IB. Asimismo, se recalca la necesidad de colaboración internacional para el intercambio de IoC y la respuesta coordinada ante incidentes de esta naturaleza.

Implicaciones para Empresas y Usuarios

El incremento de ataques atribuidos a Bearlyfy evidencia la transición de la ciberguerra hacia modelos híbridos, donde el ransomware se utiliza tanto como herramienta de presión económica como de propaganda. Las empresas deben reforzar sus capacidades de detección y respuesta, así como revisar sus políticas de ciberinteligencia para identificar campañas dirigidas. El cumplimiento de normativas como el GDPR y la inminente NIS2 resulta crítico, ya que los incidentes de este tipo pueden acarrear sanciones severas y responsabilidad legal adicional.

Conclusiones

La campaña de Bearlyfy contra empresas rusas marca un punto de inflexión en la ciberconflictividad asociada a contextos geopolíticos. El uso de GenieLocker, la explotación de vulnerabilidades recientes y el empleo de frameworks ofensivos subrayan la sofisticación de estos actores. Para el sector profesional de la ciberseguridad, el desafío reside en anticipar, detectar y responder a estas amenazas en tiempo real, minimizando el impacto operativo y legal. La colaboración y el intercambio de inteligencia serán determinantes en los próximos meses.

(Fuente: feeds.feedburner.com)