{"id":385,"date":"2026-03-27T11:25:57","date_gmt":"2026-03-27T11:25:57","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/27\/bearlyfy-ataca-a-mas-de-70-empresas-rusas-con-el-ransomware-genielocker-personalizado-cyberdefensa-mx\/"},"modified":"2026-03-27T11:25:57","modified_gmt":"2026-03-27T11:25:57","slug":"bearlyfy-ataca-a-mas-de-70-empresas-rusas-con-el-ransomware-genielocker-personalizado-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/27\/bearlyfy-ataca-a-mas-de-70-empresas-rusas-con-el-ransomware-genielocker-personalizado-cyberdefensa-mx\/","title":{"rendered":"Bearlyfy ataca a m\u00e1s de 70 empresas rusas con el ransomware GenieLocker personalizado \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un grupo proucraniano llamado osolyfy<\/strong> se ha atribuido a m\u00e1s de 70 ataques cibern\u00e9ticos dirigidos a empresas rusas desde que apareci\u00f3 por primera vez en el panorama de amenazas en enero de 2025, y los ataques recientes aprovecharon una cepa de ransomware de Windows personalizada con el nombre en c\u00f3digo GenieLocker.<\/p>\n

\u00abBearlyfy (tambi\u00e9n conocido como Labubu) opera como un grupo de doble prop\u00f3sito destinado a infligir el m\u00e1ximo da\u00f1o a las empresas rusas; sus ataques sirven al doble objetivo de extorsi\u00f3n para obtener ganancias financieras y actos de sabotaje\u00bb, dijo el proveedor de seguridad ruso F6. dicho<\/a>.<\/p>\n

F6 document\u00f3 por primera vez que el grupo de piratas inform\u00e1ticos aprovechaba cifrados asociados con LockBit 3 (Black) y Babuk en septiembre de 2025, y las primeras intrusiones se centraron en empresas m\u00e1s peque\u00f1as antes de subir la apuesta y exigir rescates por una suma de 80.000 euros (alrededor de 92.100 d\u00f3lares). En agosto de 2025, el grupo se hab\u00eda cobrado al menos 30 v\u00edctimas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

A partir de mayo de 2025, los actores de Bearlyfy tambi\u00e9n utilizaron una versi\u00f3n modificada de PolyVice, una familia de ransomware atribuida a Vice Society (tambi\u00e9n conocida como DEV-0832 o Vanilla Tempest), que tiene un historial de entregar casilleros de terceros como Hello Kitty, Zeppelin, RedAlert y Rhysida ransomware en sus ataques. <\/p>\n

Un an\u00e1lisis m\u00e1s profundo del conjunto de herramientas y la infraestructura del actor de amenazas revela superposiciones con PhantomCore, otro grupo que se considera que opera teniendo en cuenta los intereses ucranianos. Se sabe que ataca a empresas rusas y bielorrusas desde 2022. M\u00e1s all\u00e1 de PhantomCore, tambi\u00e9n se dice que Bearlyfy ha colaborado con Head Mare.<\/p>\n

Los ataques organizados por el grupo obtuvieron acceso inicial mediante la explotaci\u00f3n de servicios externos y aplicaciones vulnerables, seguido de la eliminaci\u00f3n de herramientas como MeshAgent para facilitar el acceso remoto y permitir el cifrado, destrucci\u00f3n o modificaci\u00f3n de datos. Por el contrario, PhantomCore lleva a cabo campa\u00f1as estilo APT, donde tienen prioridad el reconocimiento, la persistencia y la filtraci\u00f3n de datos.<\/p>\n

\u00abEl grupo en s\u00ed se distingue por ataques r\u00e1pidos caracterizados por una preparaci\u00f3n m\u00ednima y un r\u00e1pido cifrado de datos; otra caracter\u00edstica distintiva de estos ataques es que las notas de rescate no son generadas por el software ransomware en s\u00ed, sino que son elaboradas directamente por los atacantes\u00bb, se\u00f1al\u00f3 F6 el a\u00f1o pasado.<\/p>\n

Los ataques de Bearlyfy han demostrado ser una fuente il\u00edcita de generaci\u00f3n de ingresos. Seg\u00fan los datos de F6, aproximadamente una de cada cinco v\u00edctimas opta por pagar el rescate. Se dice que las demandas iniciales de rescate por parte del adversario aumentaron a\u00fan m\u00e1s, alcanzando cientos de miles de d\u00f3lares.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El cambio m\u00e1s notable en el modus operandi del actor de amenazas es el uso de una familia de ransomware patentada llamada GenieLocker para apuntar a puntos finales de Windows desde principios de marzo de 2026. El esquema de cifrado de GenieLocker est\u00e1 inspirado en las familias de ransomware Venus\/Trinity.<\/p>\n

Uno de los rasgos m\u00e1s distintivos de los ataques de ransomware es que el casillero genera autom\u00e1ticamente las notas de rescate. En cambio, los actores de amenazas optan por sus propios m\u00e9todos para compartir los siguientes pasos con las v\u00edctimas, ya sea simplemente compartiendo datos de contacto o elaborando mensajes que buscan ejercer presi\u00f3n psicol\u00f3gica y obligarlas a pagar.<\/p>\n

\u00abSi bien en sus primeras etapas, los miembros de Bearlyfy demostraron una falta de sofisticaci\u00f3n y claramente estaban experimentando con varias t\u00e9cnicas y conjuntos de herramientas, en el lapso de un solo a\u00f1o, este grupo se ha convertido en una verdadera pesadilla para las empresas rusas, incluidas las grandes empresas\u00bb, dijo F6.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Un grupo proucraniano llamado osolyfy se ha atribuido a m\u00e1s de 70 ataques cibern\u00e9ticos dirigidos a empresas rusas desde que apareci\u00f3 por primera vez en el panorama de amenazas en enero de 2025, y los ataques recientes aprovecharon una cepa de ransomware de Windows personalizada con el nombre en c\u00f3digo GenieLocker. \u00abBearlyfy (tambi\u00e9n conocido como […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[347,1343,31,24,562,1345,98,387,508,1344],"class_list":["post-385","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-ataca","tag-bearlyfy","tag-con","tag-cyberdefensa-mx","tag-empresas","tag-genielocker","tag-mas","tag-personalizado","tag-ransomware","tag-rusas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=385"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/385\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}