Solara-ransomware

Solara is een recent ontdekte ransomwarevariant die volgens onderzoekers is gebaseerd op de openbaar verspreide Chaos Family-code. Ransomware zoals Solara versleutelt gebruikersbestanden, eist betaling en kan de toegang tot belangrijke gegevens permanent verstoren. Het beschermen van apparaten en back-ups is daarom essentieel.

WAT SOLARA DOET

Tijdens de analyse werd waargenomen dat Solara bestanden versleutelde en de tekst '.solara' aan bestandsnamen toevoegde (bijvoorbeeld '1.png' → '1.png.solara'). De malware plaatste ook een losgeldbericht met de naam 'read_it.txt', waarin wordt beweerd dat het slachtoffer een 'anti-crack'-beveiliging heeft geactiveerd en waarin slachtoffers worden geïnstrueerd om een decryptietool te verkrijgen van een online-actor. Verschillende verslagen en voorbeeldanalyses linken Solara aan de Chaos-ransomwarefamilie en beschrijven vergelijkbaar gedrag (versleuteling, extensievervanging en een losgeldbericht in platte tekst).

Losgeldnota en betalingsclaims

Het door analisten onderzochte losgeldbericht beweert dat het herstellen van bestanden 'bijna onmogelijk' is zonder de decryptietool van de aanvaller. Het bericht instrueert slachtoffers om contact op te nemen met een Discord-gebruiker (xenqxd) en suggereert betaalmogelijkheden zoals Paysafecard (in Polen) of een klein bedrag in Bitcoin. Opvallend is dat sommige voorbeelden geen zinvolle contactkanalen bevatten, wat kan wijzen op een onvolwassen of grapachtige campagne, of op operators die simpelweg niet van plan zijn te onderhandelen. Behandel al dergelijke verzoeken met extreme argwaan.

KUNT U BESTANDEN HERSTELLEN ZONDER TE BETALEN?

Bestanden die door Chaos-familie-bedreigingen zijn versleuteld, kunnen over het algemeen niet worden hersteld zonder de juiste decryptiesleutel. Als u schone, offline back-ups van vóór de infectie hebt, is het herstellen ervan de veiligste aanbevolen route. Betalen wordt afgeraden, criminelen leveren vaak geen bruikbare decryptors en betalen leidt tot verdere criminele activiteiten.

ALGEMENE INFECTIEVECTOREN

• Gekraakte software, keygens en 'gekraakte' hulpprogramma's vermomd als malware.
• Kwaadaardige e-mailbijlagen en links (Office-macro's, scripts, EXE's).
• Geïnfecteerde advertenties, gecompromitteerde of onofficiële downloadsites, P2P-/torrentnetwerken, USB-sticks en downloaders van derden.

DIRECTE MAATREGELEN ALS U EEN VERMOEDELIJKE INFECTIE HEEFT

Isoleer de machine onmiddellijk : verbreek de verbinding met netwerken (bekabeld/wifi) en ontkoppel alle gedeelde/netwerkstations om laterale verspreiding te voorkomen.

Bewaar bewijsmateriaal : schakel het systeem niet uit en weer in als u geheugen- of forensische artefacten verzamelt, maar leg in plaats daarvan geheugen- en schijfkopieën vast als u daartoe in staat bent, of roep de hulp in van een incidentresponsbureau.

Gebruik back-ups : herstel vanaf vertrouwde back-ups zodra de malware is verwijderd en de systemen opnieuw zijn opgebouwd. Herstel geen back-ups die mogelijk waren aangesloten op het moment van de infectie.

Betaal niet tenzij een incidentresponsteam alle opties en gevolgen heeft beoordeeld. Er is geen garantie dat betalen werkt en het kan toekomstige aanvallen aanmoedigen.

BESTE VEILIGHEIDSPRAKTIJKEN

Zorg voor een up-to-date, gelaagde verdediging die de volgende werkwijzen in de dagelijkse bedrijfsvoering omvat:

Patchbeheer : voer beveiligingsupdates voor besturingssystemen en applicaties snel uit. Veel ransomware-varianten maken misbruik van bekende en gepatchte kwetsbaarheden.

Minimale bevoegdheden en accounthygiëne : voer gebruikers uit met niet-beheerdersaccounts, dwing sterke multifactorauthenticatie af voor externe toegang en bevoorrechte accounts en controleer op ongebruikelijk aanmeldgedrag.

Back-upstrategie : Maak regelmatig back-ups en houd ze gescheiden van het netwerk. Back-ups zijn immers de meest effectieve manier om gegevens te herstellen tegen encryptieaanvallen.

Endpoint Protection en EDR : implementeer betrouwbare endpoint detection & response-oplossingen die uitvoeringsafwijkingen kunnen detecteren, schadelijke payloads kunnen blokkeren en snelle inperking mogelijk maken. Houd handtekeningen en telemetrie ingeschakeld.

Gebruikersvoorlichting en phishingbestendigheid : train gebruikers om cracks/keygens te vermijden, e-mailafzenders en -links te controleren en onverwachte bijlagen met argwaan te behandelen. Gesimuleerde phishing- en bewustmakingscampagnes verminderen de menselijke risicofactor.

Toepassingsbesturingselementen en macrobeperkingen : schakel Office-macro's standaard uit, blokkeer uitvoering vanaf locaties waar vaak misbruik wordt gemaakt (bijvoorbeeld %AppData%, tijdelijke mappen) en gebruik waar mogelijk een lijst met toegestane toepassingen.

SLOTOPMERKINGEN

Solara illustreert veelvoorkomende risico's verbonden aan openbaar beschikbare ransomware-ontwikkelaars: forks en varianten nemen hand over hand toe en aanvallers passen hun distributiemethoden voortdurend aan om specifieke communities aan te vallen (rapporten noemen gamingforums en illegale softwarekanalen als waarschijnlijke lokkertjes). De beste verdedigingen zijn preventie, sterke back-ups, snelle containment en samenwerking met getrainde responsteams, in plaats van losgeld te betalen. Als u een inbreuk vermoedt en stapsgewijze hulp nodig hebt bij het opruimen, verzamel dan voorbeeldindicatoren (bestandsnamen, hashes, tekst van de losgeldbrief) en raadpleeg een betrouwbare incidentresponsprovider of uw beveiligingsleverancier voor richtlijnen over containment en herstel.