Bearlyfy វាយប្រហារក្រុមហ៊ុនរុស្ស៊ីជាមួយនឹងមេរោគ GenieLocker Ransomware ផ្ទាល់ខ្លួន

ក្រុមគាំទ្រអ៊ុយក្រែនមួយក្រុមដែលមានឈ្មោះថា Bearlyfy ត្រូវបានគេសន្មតថាជាក្រុមវាយប្រហារតាមអ៊ីនធឺណិតជាង 70 ដែលកំណត់គោលដៅលើក្រុមហ៊ុនរុស្ស៊ីចាប់តាំងពីវាបានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងទិដ្ឋភាពគំរាមកំហែងនៅក្នុងខែមករា ឆ្នាំ 2025 ដោយការវាយប្រហារថ្មីៗនេះបានប្រើប្រាស់មេរោគ ransomware Windows ផ្ទាល់ខ្លួនដែលមានឈ្មោះកូដ GenieLocker។

អ្នកលក់សន្តិសុខរុស្ស៊ី F6 បាននិយាយថា "Bearlyfy (ដែលត្រូវបានគេស្គាល់ផងដែរថា Labubu) ដំណើរការជាក្រុមគោលបំណងពីរដែលមានគោលបំណងបង្កការខូចខាតអតិបរមាដល់អាជីវកម្មរុស្ស៊ី។ ការវាយប្រហាររបស់វាបម្រើគោលបំណងពីរគឺការជំរិតទារប្រាក់ដើម្បីផលប្រយោជន៍ហិរញ្ញវត្ថុ និងសកម្មភាពបំផ្លិចបំផ្លាញ"។

ក្រុម hacking នេះត្រូវបានកត់ត្រាជាលើកដំបូងដោយ F6 នៅក្នុងខែកញ្ញា ឆ្នាំ 2025 ថាជាការប្រើប្រាស់ឧបករណ៍អ៊ិនគ្រីបដែលភ្ជាប់ជាមួយ LockBit 3 (Black) និង Babuk ជាមួយនឹងការឈ្លានពានដំបូងៗផ្តោតលើក្រុមហ៊ុនតូចៗមុនពេលបង្កើនប្រាក់កក់ និងទាមទារប្រាក់លោះដល់ចំនួន 80,000 អឺរ៉ូ (ប្រហែល 92,100 ដុល្លារ)។ នៅខែសីហា ឆ្នាំ 2025 ក្រុមនេះបានឆក់យកជនរងគ្រោះយ៉ាងហោចណាស់ 30 នាក់។

ចាប់ពីខែឧសភា ឆ្នាំ២០២៥ ភ្នាក់ងារ Bearlyfy ក៏បានប្រើប្រាស់កំណែកែប្រែរបស់ PolyVice ដែលជាក្រុមគ្រួសារមេរោគ ransomware ដែលសន្មតថាជារបស់ Vice Society (ហៅកាត់ថា DEV-0832 ឬ Vanilla Tempest) ដែលមានប្រវត្តិនៃការផ្តល់ជូន lockers ភាគីទីបីដូចជា Hello Kitty, Zeppelin, RedAlert និង Rhysida ransomware នៅក្នុងការវាយប្រហាររបស់ពួកគេ។

ការវិភាគបន្ថែមអំពីឧបករណ៍ និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ភ្នាក់ងារគំរាមកំហែង បង្ហាញពីការត្រួតស៊ីគ្នាជាមួយ PhantomCore ដែលជាក្រុមមួយផ្សេងទៀតដែលត្រូវបានវាយតម្លៃថាកំពុងដំណើរការដោយគិតគូរពីផលប្រយោជន៍អ៊ុយក្រែន។ វាត្រូវបានគេដឹងថាវាយប្រហារក្រុមហ៊ុនរុស្ស៊ី និងបេឡារុស្សចាប់តាំងពីឆ្នាំ២០២២។ ក្រៅពី PhantomCore ភ្នាក់ងារ Bearlyfy ក៏ត្រូវបានគេនិយាយថាបានសហការជាមួយ Head Mare ផងដែរ។

ការវាយប្រហារដែលធ្វើឡើងដោយក្រុមនេះទទួលបានការចូលប្រើដំបូងតាមរយៈការកេងប្រវ័ញ្ចសេវាកម្មខាងក្រៅ និងកម្មវិធីងាយរងគ្រោះ បន្ទាប់មកដោយការទម្លាក់ឧបករណ៍ដូចជា MeshAgent ដើម្បីសម្រួលដល់ការចូលប្រើពីចម្ងាយ និងអាចឱ្យមានការអ៊ិនគ្រីប ការបំផ្លាញ ឬការកែប្រែទិន្នន័យ។ ផ្ទុយទៅវិញ PhantomCore ធ្វើយុទ្ធនាការបែប APT ដែលការឈ្លបយកការណ៍ ការតស៊ូ និងការលួចយកទិន្នន័យមានអាទិភាព។

«ក្រុមនេះខ្លួនឯងត្រូវបានសម្គាល់ដោយការវាយប្រហារយ៉ាងឆាប់រហ័សដែលមានលក្ខណៈដោយការរៀបចំតិចតួចបំផុត និងការអ៊ិនគ្រីបទិន្នន័យរហ័ស។ លក្ខណៈពិសេសមួយទៀតនៃការវាយប្រហារទាំងនេះគឺថា កំណត់ត្រាលោះមិនត្រូវបានបង្កើតឡើងដោយកម្មវិធី ransomware ខ្លួនឯងទេ ប៉ុន្តែត្រូវបានបង្កើតឡើងដោយអ្នកវាយប្រហារដោយផ្ទាល់» F6 បានកត់សម្គាល់កាលពីឆ្នាំមុន។

ការវាយប្រហាររបស់ Bearlyfy បានបង្ហាញថាជាប្រភពបង្កើតប្រាក់ចំណូលខុសច្បាប់។ តាមទិន្នន័យ F6 ជនរងគ្រោះប្រហែលម្នាក់ក្នុងចំណោមប្រាំនាក់ជ្រើសរើសបង់ប្រាក់លោះ។ ការទាមទារប្រាក់លោះដំបូងពីសត្រូវត្រូវបានគេនិយាយថាបានកើនឡើងបន្ថែមទៀត ដោយឈានដល់រាប់រយរាប់ពាន់ដុល្លារ។

ការផ្លាស់ប្តូរគួរឱ្យកត់សម្គាល់បំផុតនៅក្នុងរបៀបប្រតិបត្តិការរបស់ភ្នាក់ងារគំរាមកំហែងគឺការប្រើប្រាស់គ្រួសារ ransomware ដែលមានកម្មសិទ្ធិមួយហៅថា GenieLocker ដើម្បីកំណត់គោលដៅចំណុចបញ្ចប់ Windows ចាប់តាំងពីដើមខែមីនា ឆ្នាំ 2026។ គ្រោងការណ៍អ៊ិនគ្រីបរបស់ GenieLocker ត្រូវបានបំផុសគំនិតដោយគ្រួសារ ransomware Venus/Trinity។

លក្ខណៈពិសេសមួយក្នុងចំណោមលក្ខណៈពិសេសបំផុតនៃការវាយប្រហារ ransomware គឺថាកំណត់ត្រាលោះត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិដោយ locker ។ ផ្ទុយទៅវិញ ភ្នាក់ងារគំរាមកំហែងជ្រើសរើសវិធីសាស្រ្តផ្ទាល់ខ្លួនរបស់ពួកគេដើម្បីចែករំលែកជំហានបន្ទាប់ជាមួយជនរងគ្រោះ ទាំងគ្រាន់តែចែករំលែកព័ត៌មានលម្អិតទំនាក់ទំនង ឬសារស្មុគស្មាញដែលព្យាយាមដាក់សម្ពាធផ្លូវចិត្ត និងបង្ខំពួកគេឱ្យបង់ប្រាក់។

F6 បាននិយាយថា «ខណៈពេលដែលនៅដំណាក់កាលដំបូងរបស់ខ្លួន សមាជិក Bearlyfy បានបង្ហាញពីកង្វះភាពទំនើប ហើយច្បាស់ណាស់ថាកំពុងពិសោធន៍ជាមួយបច្ចេកទេស និងឧបករណ៍ផ្សេងៗ ក្នុងរយៈពេលមួយឆ្នាំ ក្រុមនេះបានវិវត្តទៅជាសុបិន្តអាក្រក់ពិតប្រាកដសម្រាប់អាជីវកម្មរុស្ស៊ី រួមទាំងសហគ្រាសធំៗផងដែរ»។