概要
親ウクライナのハッカー集団「Bearlyfy」(別名Labubu)が、2025年1月の出現以降、70社以上のロシア企業に対してサイバー攻撃を行っていることがセキュリティベンダーF6の調査で明らかになった。同グループは金銭的恐喝とロシア企業へのサボタージュという二重の目的で活動しており、2026年3月からは独自開発のWindowsランサムウェア「GenieLocker」の使用が確認されている。F6は「わずか1年の間に、このグループはロシアの大企業を含むビジネスにとって真の悪夢へと進化した」と評している。
攻撃手法とツールの変遷
Bearlyfyは当初、LockBit 3(Black)やBabukといった既存のランサムウェアを利用していたが、2025年5月には改変版PolyViceランサムウェアへと移行し、2026年3月に独自開発のGenieLockerを投入するに至った。初期アクセスには外部公開サービスや脆弱なアプリケーションの悪用を行い、リモートアクセスツールとしてMeshAgentを展開する。データの暗号化だけでなく、破壊や改変も行う能力を持つ点が特徴的だ。
GenieLockerの技術的特徴
GenieLockerはVenusおよびTrinityランサムウェアファミリーに触発された暗号化方式を採用したカスタムWindows向けランサムウェアである。他のランサムウェアと異なる特徴として、身代金要求メッセージがマルウェアによる自動生成ではなく、攻撃者が手動で作成している点が挙げられる。これは被害者ごとにカスタマイズされた対応を行っていることを示唆している。
被害状況と他グループとの連携
身代金の要求額は当初8万ユーロ(約92,100ドル)程度だったが、現在は数十万ドル規模にまで拡大しており、被害者の約20%が身代金を支払ったとされる。また、Bearlyfyは2022年からロシア・ベラルーシの組織を標的としているウクライナ系グループ「PhantomCore」との重複が指摘されているほか、「Head Mare」グループとの協力関係も文書化されている。インフラやツールセットの類似性から、これらのグループ間で組織的な連携が行われていると見られており、ロシア企業に対するサイバー脅威は今後もさらに高度化していく可能性がある。