Ransomware Solara
Solara è un ceppo di ransomware osservato di recente che, secondo i ricercatori, si basa sul codice della famiglia Chaos, diffuso pubblicamente. Ransomware come Solara crittografano i file degli utenti, richiedono un pagamento e possono interrompere permanentemente l'accesso a dati importanti, quindi proteggere dispositivi e backup è essenziale.
Sommario
COSA FA SOLARA
Durante l'analisi, è stato osservato che Solara crittografava i file e aggiungeva la stringa di testo '.solara' ai nomi dei file (ad esempio, '1.png' → '1.png.solara'). Il malware rilascia anche una richiesta di riscatto denominata 'read_it.txt' che afferma che la vittima ha attivato una protezione 'anti-crack' e invita le vittime a ottenere uno strumento di decrittazione da un utente online. Diversi articoli e analisi di esempio collegano Solara alla famiglia di ransomware Chaos e descrivono un comportamento simile (crittografia, sostituzione di estensione e richiesta di riscatto in chiaro).
RICHIESTE DI RISCATTO E PAGAMENTO
Il messaggio di riscatto esaminato dagli analisti afferma che il recupero dei file è "quasi impossibile" senza lo strumento di decrittazione dell'aggressore. La nota invita le vittime a contattare un utente Discord (xenqxd) e suggerisce opzioni di pagamento come Paysafecard (in Polonia) o una piccola somma in Bitcoin. In particolare, alcuni esempi omettono canali di contatto significativi, il che può indicare una campagna immatura o scherzosa, o operatori che semplicemente non si aspettano di negoziare. Trattate tutte queste richieste con estremo sospetto.
È POSSIBILE RECUPERARE I FILE SENZA PAGARE?
In generale, i file crittografati dalle minacce della famiglia Chaos non sono recuperabili senza la chiave di decrittazione appropriata. Se si dispone di backup puliti e offline risalenti a prima dell'infezione, ripristinarli è la soluzione più sicura. Il pagamento è sconsigliato, poiché i criminali spesso non forniscono decryptor utilizzabili e il pagamento dei fondi alimenta ulteriori attività criminali.
VETTORI DI INFEZIONE COMUNI
- Software pirata, keygen e utility "craccate" mascherate da malware.
- Allegati e link e-mail dannosi (macro di Office, script, file EXE).
- Annunci infetti, siti di download compromessi o non ufficiali, reti P2P/torrent, unità USB e downloader di terze parti.
AZIONI IMMEDIATE IN CASO DI SOSPETTA INFEZIONE
Isolare immediatamente la macchina : scollegarla dalle reti (cablate/Wi-Fi) e smontare tutte le unità condivise/di rete per interrompere la diffusione laterale.
Conservare le prove : non spegnere e riaccendere il computer se si stanno raccogliendo dati di memoria o artefatti forensi, ma acquisire immagini di memoria e disco se si ha la possibilità, oppure chiamare il servizio di risposta agli incidenti.
Utilizzare i backup : ripristinare da backup attendibili una volta rimosso il malware e ricostruiti i sistemi; non ripristinare i backup che potrebbero essere stati connessi al momento dell'infezione.
Non pagare finché un team di risposta agli incidenti non abbia valutato tutte le opzioni e le conseguenze; il pagamento non garantisce il successo e potrebbe incoraggiare attacchi futuri.
MIGLIORI PRATICHE DI SICUREZZA
Mantenere una difesa aggiornata e stratificata che includa le seguenti pratiche nelle operazioni quotidiane:
Gestione delle patch : applica tempestivamente gli aggiornamenti di sicurezza del sistema operativo e delle applicazioni; molti ceppi di ransomware sfruttano vulnerabilità note e corrette.
Minimi privilegi e igiene degli account : esegui utenti con account non amministrativi, applica un'autenticazione multifattoriale avanzata per l'accesso remoto e gli account privilegiati e monitora comportamenti di accesso insoliti.
Strategia di backup : creare backup regolarmente e tenerli separati dalla rete. Dopotutto, i backup sono il controllo di ripristino più efficace contro gli attacchi di crittografia.
Protezione degli endpoint ed EDR : implementa soluzioni affidabili di rilevamento e risposta degli endpoint in grado di rilevare anomalie di esecuzione, bloccare payload dannosi e consentire un rapido contenimento. Mantieni abilitate le firme e la telemetria.
Formazione degli utenti e resistenza al phishing : insegnare agli utenti a evitare di utilizzare crack/keygen, a verificare mittenti e link di posta elettronica e a trattare con sospetto gli allegati inaspettati. Le simulazioni di phishing e le campagne di sensibilizzazione riducono il fattore di rischio umano.
Controlli delle applicazioni e restrizioni delle macro : disabilitare le macro di Office per impostazione predefinita, bloccare l'esecuzione da posizioni di abuso comuni (ad esempio, %AppData%, cartelle temporanee) e utilizzare l'elenco consentito delle applicazioni ove possibile.
NOTE DI CHIUSURA
Solara illustra i rischi comuni legati ai creatori di ransomware disponibili al pubblico: fork e varianti proliferano e gli aggressori adattano continuamente i metodi di distribuzione per colpire comunità specifiche (i report evidenziano forum di gaming e canali di software pirata come probabili esche). Le migliori difese sono la prevenzione, backup efficaci, un contenimento rapido e la collaborazione con team di risposta qualificati, evitando il pagamento di riscatti. Se sospetti una compromissione e hai bisogno di assistenza per una pulizia dettagliata, raccogli indicatori campione (nomi di file, hash, testo della richiesta di riscatto) e consulta un fornitore di servizi di risposta agli incidenti affidabile o il tuo fornitore di sicurezza per indicazioni su contenimento e ripristino.
Messaggi
Sono stati trovati i seguenti messaggi associati a Ransomware Solara:
Oh uh, your pc was hacked by Solara Ransomware! |
