Bearlyfy Serang Lebih dari 70 Perusahaan Rusia dengan Ransomware GenieLocker Kustom

Kelompok pro-Ukraina Bearlyfy telah melakukan lebih dari 70 serangan siber terhadap perusahaan-perusahaan di Rusia sejak kemunculannya pada Januari 2025. Serangan terbaru menggunakan ransomware Windows kustom yang dinamai GenieLocker, yang dirancang khusus untuk mengenkripsi data dan memaksa korban membayar tebusan besar.

Modus Operandi Bearlyfy dan Evolusi Serangan

Menurut vendor keamanan Rusia F6, Bearlyfy (juga dikenal sebagai Labubu) bertujuan untuk memberikan dampak maksimal terhadap bisnis Rusia, dengan serangannya menggabungkan tujuan ganda: pemerasan finansial dan aksi sabotase. Kelompok ini pertama kali teridentifikasi pada September 2025 menggunakan enkripsi dari keluarga ransomware LockBit 3 (Black) dan Babuk. Awalnya mereka menargetkan perusahaan kecil dengan jumlah tebusan sekitar €80.000 (sekitar $92.100).

Pada Agustus 2025, Bearlyfy telah mengklaim setidaknya 30 korban, dan sejak Mei 2025 mulai memanfaatkan versi modifikasi dari ransomware PolyVice, yang sebelumnya digunakan oleh kelompok Vice Society. PolyVice sendiri dikenal sering menyisipkan ransomware pihak ketiga seperti Hello Kitty, Zeppelin, RedAlert, dan Rhysida.

Kolaborasi dan Teknik Serangan

Analisis lebih dalam mengungkapkan bahwa Bearlyfy memiliki kemiripan dan tumpang tindih infrastruktur dengan kelompok PhantomCore, yang juga diyakini beroperasi untuk kepentingan Ukraina dan melakukan serangan terhadap perusahaan Rusia dan Belarusia sejak 2022. Selain itu, Bearlyfy juga diduga berkolaborasi dengan kelompok Head Mare.

Serangan Bearlyfy biasanya dimulai dengan eksploitasi layanan eksternal dan aplikasi rentan untuk mendapatkan akses awal, kemudian menanamkan alat seperti MeshAgent untuk memungkinkan akses jarak jauh dan melakukan enkripsi data, perusakan, atau modifikasi. Berbeda dengan PhantomCore yang lebih fokus pada kampanye APT dengan tahap pengintaian dan pencurian data, Bearlyfy dikenal dengan serangan cepat yang minim persiapan dan langsung mengenkripsi data.

"Kelompok ini ditandai dengan serangan cepat yang minim persiapan dan enkripsi data yang sangat cepat; catatan tebusan tidak dibuat oleh perangkat lunak ransomware, melainkan langsung ditulis oleh pelaku," jelas F6 tahun lalu.

GenieLocker: Ransomware Proprietary Terbaru

Perubahan signifikan dalam taktik Bearlyfy adalah penggunaan ransomware kustom bernama GenieLocker sejak Maret 2026. Ransomware ini menargetkan endpoint Windows dengan skema enkripsi yang terinspirasi dari keluarga ransomware Venus dan Trinity.

Salah satu ciri khas GenieLocker adalah catatan tebusan tidak otomatis dibuat oleh perangkat lunak, melainkan pelaku secara manual menyampaikan instruksi kepada korban dengan cara yang bisa berupa kontak sederhana atau pesan yang dirancang untuk memberikan tekanan psikologis agar korban segera membayar.

Impak dan Potensi Kerugian

Berdasarkan data F6, sekitar satu dari lima korban memilih membayar tebusan, dengan jumlah yang terus meningkat hingga ratusan ribu dolar. Bearlyfy telah menjadi sumber penghasilan ilegal yang signifikan bagi pelaku sekaligus ancaman serius bagi perusahaan Rusia, termasuk perusahaan besar.

Analisis Redaksi

Menurut pandangan redaksi, serangkaian serangan Bearlyfy mencerminkan tren meningkatnya konflik siber yang menggabungkan tujuan geopolitik dan keuntungan finansial. Evolusi dari teknik awal yang tergolong eksperimental hingga penggunaan ransomware kustom seperti GenieLocker menunjukkan bahwa kelompok ini semakin profesional dan berbahaya.

Selain itu, kolaborasi Bearlyfy dengan kelompok lain seperti PhantomCore dan Head Mare mengindikasikan adanya jaringan yang kompleks dan terkoordinasi dalam melakukan serangan siber terhadap target Rusia. Hal ini dapat memperpanjang masa ancaman dan mendorong eskalasi serangan yang lebih sistematis.

Ke depan, perusahaan-perusahaan di wilayah rawan serangan harus meningkatkan sistem keamanan siber mereka, terutama dalam mengelola kerentanan aplikasi dan layanan eksternal. Penting juga untuk memonitor perkembangan ransomware terbaru dan teknik serangan yang terus berubah. Untuk informasi lebih lanjut tentang ancaman siber terkini, Anda dapat mengunjungi laporan resmi The Hacker News dan berita teknologi terpercaya.

Kesimpulan

Bearlyfy kini menjadi ancaman nyata yang telah menginfeksi puluhan perusahaan Rusia dengan ransomware khusus yang semakin canggih. Serangan ini tidak hanya berdampak finansial besar, tetapi juga memicu kekhawatiran akan keamanan data dan stabilitas bisnis di tengah ketegangan geopolitik. Penting bagi para pemangku kepentingan untuk terus waspada dan memperkuat pertahanan siber guna menghadapi ancaman yang terus berkembang ini.