Bearlyfy 70家俄企遭劫：這個勒索團伙把"閃電戰"玩成了

2025年1月到2026年3月，14個月，70多家俄羅斯公司被同一個黑客組織反復洗劫。贖金從8萬歐元漲到數十萬美元，付款率穩定在20%——這不是戰場數據，是俄羅斯安全廠商F6追蹤Bearlyfy團伙后給出的運營報表。

一個勒索團伙能把"效率"量化到這種程度，本身就值得拆解。

從"借槍"到"造槍"：工具鏈的迭代路徑

Bearlyfy的起步很務實。2025年初剛冒頭時，他們直接套用現成的勒索軟件：LockBit 3（Black）、Babuk，這些都是地下市場流通的成熟工具。F6在2025年9月的首次披露中記錄了這一階段——攻擊對象以中小企業為主，贖金定價8萬歐元左右，約合9.2萬美元。

到2025年5月，工具庫升級。他們開始部署PolyVice的修改版本，這是Vice Society（DEV-0832/Vanilla Tempest）家族的變種。Vice Society有個特點：本身不開發勒索軟件，而是充當"配送平臺"，歷史上用過Hello Kitty、Zeppelin、RedAlert、Rhysida等第三方鎖具。Bearlyfy借這個殼，相當于租了間裝修好的店面，自己當掌柜。

真正的轉折點在2026年3月。他們啟用了完全自主開發的GenieLocker，專門瞄準Windows終端。加密方案借鑒了Venus/Trinity家族的技術路線，但代碼是自己的。從"借槍"到"造槍"，這個升級意味著兩件事：技術能力夠了，且現有工具已經滿足不了他們的攻擊節奏。

"閃電戰"方法論：為什么 ransom note 要手寫

F6對Bearlyfy的攻擊特征有個精準概括：rapid-fire attacks，速射式攻擊。準備時間極短，加密速度極快，整個鏈條被壓縮到最小可行周期。

這里有個反常識的細節。主流勒索軟件都在代碼里內置了自動生成贖金通知的功能，受害者一被鎖屏就能看到付款指引。Bearlyfy偏不——他們的贖金通知是攻擊者手工寫的，要么只留個聯系方式，要么詳細展開下一步。這個設計看似倒退，實則匹配他們的作戰邏輯：自動化生成的是標準化產品，手工撰寫才能靈活定價、快速響應、針對不同受害者調整話術。

類比一下：普通勒索軟件像自動售貨機，投幣出貨；Bearlyfy像路邊攤，老板現場招呼，看人要價。

初始入侵路徑也體現了這種實用主義。利用對外服務和漏洞應用打穿邊界，然后丟MeshAgent進去——這是個開源的遠程管理工具，正經IT運維也用，被他們 repurposing（重新利用）成了入侵跳板。拿到權限后，加密、破壞、篡改數據，三選一或全選，看當時心情。

雙目標驅動：賺錢和搞破壞不矛盾

F6給Bearlyfy的定位很直白：dual-purpose group，雙重目的團伙。既要勒索賺錢，也要 sabotage（蓄意破壞）。這兩個目標在傳統認知里有點沖突——破壞太狠，受害者付贖金的意愿就低；太溫和，又達不到"損害俄羅斯商業"的政治訴求。

他們的解法是把受害者分層。中小企業直接鎖死，能榨多少是多少；對更有價值的目標，可能留一手談判空間。20%的付款率放在勒索軟件行業里不算高，但考慮到他們的攻擊規模和頻率，絕對收益依然可觀。更關鍵的是，那些沒付款的受害者，數據損失本身就是"戰果"。

這種商業模式的設計，讓Bearlyfy區別于純求財的勒索團伙，也區別于純搞破壞的APT組織。他們卡在中間地帶，兩頭吃。

地緣圖譜：烏克蘭背景的網絡民兵網絡

工具鏈和基礎設施的交叉分析，把Bearlyfy和另外兩個組織串進了同一張網：PhantomCore、Head Mare。

PhantomCore從2022年開始活躍，專門盯著俄羅斯和白俄羅斯的公司打，被評估為帶有烏克蘭利益導向。他們的打法更"古典"：APT風格，先偵察、再持久化、最后數據滲出，每一步都講究隱蔽和長期潛伏。Bearlyfy和他們共享部分基礎設施，但戰術風格截然相反——一個像狙擊手，一個像沖鋒槍。

Head Mare則是另一個被點名有協作關系的團伙。三方的具體分工不明，但F6的追蹤顯示，Bearlyfy不是孤軍作戰，而是處在一個有分工、有協作的生態位里。

這種網絡化的組織結構，解釋了為什么Bearlyfy能在14個月內快速迭代工具、擴張戰果。他們不是從零開始造輪子，而是在一個既有技術池和情報池里舀水喝。

GenieLocker的技術錨點：為什么選Venus/Trinity

GenieLocker的加密方案明確標注了靈感來源：Venus和Trinity兩個勒索軟件家族。這個選擇有講究。

Venus（也稱VenusLocker）和Trinity都是2022-2023年間活躍的Windows勒索軟件，以加密速度快、代碼結構相對簡潔著稱。對Bearlyfy來說，借鑒這兩個家族，相當于在"速射戰"的需求和開發成本之間找平衡——不需要從頭設計加密算法，但要足夠穩定、足夠快、足夠難破解。

自主開發還有一個隱性收益：規避供應鏈風險。用第三方勒索軟件，遲早會被安全廠商特征化、封禁；自己的代碼，生命周期完全可控。2026年3月切到GenieLocker，時間點卡在F6首次披露后的半年，可能正是對外部工具依賴度降到零的標志性動作。

贖金漲幅也能說明問題。從8萬歐元到"數十萬美元"，定價權的提升直接對應技術自主權的提升。當攻擊者能控制整個工具鏈，他們對受害者的議價空間就打開了。

F6的報告里埋了一個值得玩味的細節：Bearlyfy的別名是Labubu。這個名字源自一個近年爆火的潮玩IP，一只毛茸茸的、長著九顆尖牙的小怪獸。用可愛符號包裝破壞性行動，是網絡犯罪圈的常見操作，還是某種刻意的反差隱喻？

當勒索軟件開發者開始關注品牌辨識度，這個行業是不是已經進入成熟期了？