Bearlyfy: attaques sur les entreprises russes avec GenieLocker

LockSelf Team

5 min de lecture
Partager
Bearlyfy: attaques sur les entreprises russes avec GenieLocker

Analyse technique

Origine et vecteurs d'intrusion

Le groupe pro-ukrainien Bearlyfy a mené plus de 70 attaques contre des entreprises russes depuis janvier 2025, selon les signalements publics¹. Le profil opérateur et les artefacts observés montrent une approche classique mais efficace, basée sur la combinaison de phishing ciblé, d'accès RDP/VPN mal protégés et d'identifiants compromis. Ces vecteurs restent très répandus et représentent un risque immédiat pour les environnements où les accès distants et la culture de mots de passe faibles perdurent.

  • Phishing et ingénierie sociale: les campagnes sont ciblées, souvent accompagnées de loaders dans des pièces jointes ou de liens malveillants. Renforcer la formation et les simulations reste une priorité opérationnelle. Selon les intrusions analysées, le phishing est souvent le point d'entrée initial¹.
  • Accès exposés: des services RDP et VPN accessibles depuis Internet sont exploités pour un accès direct. Toute connexion non protégée par MFA augmente fortement le risque d'intrusion. Fermez ou restreignez ces accès quand ils ne sont pas absolument nécessaires. De plus, il est à noter qu'Interlock, l'un des groupes de ransomware les plus actifs au monde, a commencé à exploiter une vulnérabilité critique dans les pare-feu Cisco, avant même la publication d'un correctif. Cela met en lumière l'importance pour les entreprises de maintenir une vigilance constante face aux vulnérabilités connues qui peuvent être exploitées à l'insu de l'organisation.
  • Identifiants volés et mouvement latéral: une fois obtenus, des identifiants valides permettent d'étendre l'accès aux partages réseau et aux services critiques. Utilisez des identifiants uniques pour comptes sensibles et changez-les régulièrement.

Mécanique de GenieLocker

GenieLocker est un rançongiciel Windows décrit comme personnalisé pour ses cibles. Les caractéristiques observées indiquent un rançongiciel conçu pour maximiser l'impact opérationnel et compliquer la récupération.

  • Chiffrement parallèle: le chiffrement multi-thread accélère la paralysie des systèmes, réduisant le temps disponible pour une réponse avant que l'impact opérationnel ne devienne critique.
  • Gestion des clés: chaque hôte génère sa clef de session locale, ce qui complique les tentatives de restauration sans accès à la clef privée détenue par l'attaquant.
  • Persistance: des tâches planifiées et des stratégies de démarrage sont utilisées pour maintenir un accès initial et relancer des composants malveillants après redémarrage.

Ces éléments montrent une capacité à combiner chiffrement destructeur et mécanismes visant à prolonger la fenêtre d'impact.

Capabilités réseau et exfiltration

Bearlyfy associe chiffrement et exfiltration, ce qui multiplie la pression sur les victimes: les acteurs collectent d'abord des données sensibles sur des partages et bases de données, chiffrent ensuite des systèmes pour bloquer l'activité normale, puis exfiltrent des données via des canaux chiffrés pour renforcer leur levier de coercition.

  • Collecte de données sensibles sur partages réseau et serveurs de fichiers.
  • Chiffrement des données locales et des sauvegardes accessibles.
  • Exfiltration via canaux chiffrés, rendant la détection réseau plus complexe.

Le coût réel se mesure en perturbation opérationnelle, pertes contractuelles et exposition réglementaire lorsque des informations confidentielles sont divulguées.

Observations de TTP (tactics, techniques, procedures)

Les techniques observées correspondent à des étapes reproductibles dans le cycle d'attaque: accès initial par phishing ou RDP, exécution via loaders et pièces jointes, persistence par tâches planifiées, élévation de privilèges via services Windows légitimes, évasion par obfuscation et suppression de journaux, et enfin impact par chiffrement et exfiltration. Ces TTP peuvent être cartographiés sur le référentiel MITRE ATT&CK, notamment la technique de chiffrement des données pour impact (T1486)³.

Illustration cybersécurité

L'ensemble des TTP indique une attaque pensée pour maximiser la pression financière et opérationnelle, avec une stratégie de double extorsion (chiffrement + exfiltration).

Impacts business

L'ampleur des conséquences dépend directement de la criticité des systèmes touchés et de la préparation en place.

  • Interruption d'activité: une paralysie de production, logistique ou service client peut coûter de quelques milliers à plusieurs millions d'euros par jour selon le secteur et la taille de l'entreprise.
  • Coûts de restauration: diagnostic, forensique, nettoyage et restauration depuis sauvegardes peuvent mobiliser des équipes internes et externes pendant des jours à semaines.
  • Coûts juridiques et réputationnels: en cas d'exfiltration, obligations légales de notification et risques de sanctions représentent un coût supplémentaire et un frein à la confiance des partenaires.
  • Pression financière: les demandes de rançon peuvent atteindre plusieurs millions de dollars; en outre, la gestion de crise et l'impact commercial dépassent souvent le montant de la rançon.

Une interruption prolongée, par exemple 72 heures, peut générer des pertes supérieures au coût d'une rançon et aux frais de récupération, d'où l'urgence de plans de réponse testés et éprouvés.

Recommandations

Mesures immédiates (T+0 à T+72 heures)

  • Isoler: déconnectez immédiatement les postes et serveurs affectés du réseau pour limiter la propagation.
  • Sauvegardes: vérifiez l'intégrité des sauvegardes immuables et lancez des restaurations tests depuis des copies hors ligne.
  • Préservation d'éléments de preuve: conservez les logs, images mémoire et fichiers pertinents pour l'analyse forensique.
  • Communication: activez la procédure de gestion de crise, informez les responsables légaux, la direction et les partenaires critiques.

Renforcement à court terme (semaines)

  • Déployer MFA obligatoire sur tous les accès sensibles et les comptes à privilèges.
  • Prioriser le patch management pour corriger les vulnérabilités critiques. L'actualité de l'exploitation de la faille Cisco par Interlock souligne également la nécessité de rapidité dans la mise à jour des systèmes.
  • Durcir RDP/VPN: fermer les accès non nécessaires, restreindre par liste d'adresses, mettre en place des tunnels sécurisés et isoler les accès administratifs.

Selon les bonnes pratiques d'hygiène informatique recommandées par l'ANSSI, ces mesures réduisent significativement la surface d'attaque².

Stratégies moyen/long terme

  • Segmentation réseau pour limiter le mouvement latéral et protéger les environnements critiques.
  • Plans de reprise et exercices: tester régulièrement les restaurations et les procédures de communication de crise.
  • Gestion des identités et des accès: appliquer le principe du moindre privilège et revoir les droits d'accès périodiquement.

Outils et processus

  • Déployer un EDR avec détection comportementale pour identifier les patterns de chiffrement et d'exfiltration en temps réel.
  • Mettre en place un SIEM correctement configuré pour corréler les événements et déclencher des réponses automatisées.
  • Utiliser des sauvegardes immuables et vérifier régulièrement leur restaurabilité.

Sans actions rapides et coordonnées, le coût d'inaction peut se traduire par des pertes financières et opérationnelles majeures. Surveillez l'évolution des techniques du groupe et adaptez vos défenses en conséquence.

Questions fréquentes

Quelle est la portée connue des attaques attribuées à Bearlyfy?

Les signalements publics attribuent à Bearlyfy plus de 70 attaques contre des entreprises russes depuis janvier 2025¹. Les cibles sont diverses, incluant acteurs privés et certains services liés à l'infrastructure économique.

GenieLocker est-il un rançongiciel standard ou possède-t-il des fonctionnalités inédites?

GenieLocker est une implémentation sur mesure pour Windows, combinant chiffrement multi-thread, persistance via tâches planifiées et capacités d'exfiltration. Ces éléments augmentent le potentiel d'impact et complexifient la récupération.

Quelles priorités opérationnelles pour se protéger contre ce type d'attaque?

Priorités: restreindre et durcir les accès externes (MFA, fermer RDP exposé), vérifier et isoler sauvegardes immuables, déployer EDR comportemental et automatiser la réponse aux signes de chiffrement massif. Isoler et conserver les preuves en cas d'incident.

Faut-il payer la rançon si des données ont été exfiltrées?

Payer n'offre aucune garantie de non-divulgation et finance le crime. La décision doit être prise avec équipes juridiques, cyberassurance et experts forensiques. Les alternatives incluent restaurations validées et négociation encadrée par spécialistes.

Sources

Lire la suite