هجمات Bearlyfy تضرب 70 شركة ببرمجية GenieLocker

هجمات Bearlyfy الأخيرة استهدفت أكثر من 70 شركة روسية مع استخدام فدية GenieLocker الجديدة، ما يرفع مخاطر التخريب والابتزاز.

لماذا تتصاعد هجمات Bearlyfy على الشركات الروسية؟

تُوصف المجموعة بأنها مؤيدة لأوكرانيا وتعمل بهدفين متوازيين هما الابتزاز المالي والتخريب، ما يجعلها واحدة من أكثر حملات برمجيات الفدية عدوانية في 2025 و2026. تقارير أمنية تشير إلى أكثر من 70 هجوماً منذ ظهورها في يناير 2025، مع تركيز واضح على شركات روسية في قطاعات خدماتية وصناعية.

كيف تطورت الحملة منذ 2025؟

البدايات كانت مع أدوات مرتبطة بـ LockBit 3 وBabuk قبل التوسع نحو أهداف أكبر ورفع سقف المطالبات المالية إلى 80 ألف يورو. لاحقاً، تبنت المجموعة نسخة معدلة من PolyVice المرتبطة بـ Vice Society لتسريع عمليات التشفير.

• يناير 2025: ظهور المجموعة في مشهد الهجمات الموجهة ضد روسيا.
• مايو 2025: اعتماد نسخة معدلة من PolyVice لتسليم أدوات تشفير متعددة.
• أغسطس 2025: الإعلان عن 30 ضحية على الأقل داخل قطاعات متنوعة.
• سبتمبر 2025: توثيق منهجية الهجمات وارتباطها بـ LockBit 3 وBabuk.
• مارس 2026: إطلاق عائلة تشفير مخصصة باسم GenieLocker.

ما الجديد في برمجية GenieLocker؟

التحول الأبرز بدأ منذ مارس 2026 مع استخدام عائلة تشفير مملوكة باسم GenieLocker تستهدف أجهزة ويندوز الطرفية. أسلوب التشفير مستوحى من عائلات Venus وTrinity مع تحضير قصير ونتائج سريعة.

ما يميز GenieLocker تقنياً؟

• استهداف أجهزة ويندوز الطرفية داخل الشبكات المحلية.
• تشفير سريع مع تقليل زمن التحضير قبل الهجوم.
• إعداد ملاحظات الفدية يدوياً من المهاجمين بدل توليد تلقائي.
• مطالبات مالية مرتفعة قد تصل إلى مئات آلاف الدولارات.
• تصميم تشفير مستوحى من عائلات Venus وTrinity.

كيف يتم اختراق الشركات والأدوات المستخدمة؟

الاختراقات تبدأ عادةً باستغلال خدمات خارجية مكشوفة وتطبيقات ضعيفة الحماية، ثم زرع أدوات مثل MeshAgent للوصول عن بُعد والتحكم الكامل بالأنظمة. وهناك تقاطعات بنيوية مع PhantomCore وHead Mare، حيث تُعرف الأولى بأسلوب APT القائم على الاستطلاع وجمع البيانات.

• استغلال ثغرات في خدمات خارجية مكشوفة على الإنترنت.
• زرع MeshAgent لتسهيل التحكم عن بُعد وتنفيذ التشفير.
• استخدام PolyVice المعدلة لتسليم أدوات فدية مختلفة.
• تشابه بنيوي مع PhantomCore التي تركز على الاستطلاع والسرقة.

ما تأثير الهجمات على الضحايا وما نسبة الدفع؟

البيانات المتداولة تشير إلى أن ضحية واحدة من كل خمس ضحايا تختار الدفع، ما يحول الهجمات إلى مصدر دخل غير مشروع مستمر. ووفقاً لتقديرات تيكبامين، فإن المطالبات المالية ارتفعت من عشرات الآلاف إلى مئات آلاف الدولارات خلال عام واحد.

• تعطل العمليات التجارية وتوقف الخدمات الأساسية لساعات أو أيام.
• تشفير البيانات الحساسة وتهديد بنشرها إذا لم يتم الدفع.
• تكاليف استعادة الأنظمة قد تتجاوز قيمة الفدية نفسها.

مع استمرار هجمات Bearlyfy، يصبح تعزيز الأمن السيبراني أمراً ملحاً عبر تحديث الأنظمة، وتدقيق الخدمات المكشوفة، وتنفيذ نسخ احتياطية معزولة. هذه الخطوات تقلل فرص نجاح هجمات Bearlyfy وتحد من أثرها التشغيلي والمالي.