Ransomware Solara
Solara es una cepa de ransomware observada recientemente que, según los investigadores, se basa en el código de la familia Chaos, de circulación pública. Ransomware como Solara cifra los archivos del usuario, exige un pago y puede interrumpir permanentemente el acceso a datos importantes, por lo que proteger los dispositivos y las copias de seguridad es esencial.
Tabla de contenido
¿QUÉ HACE SOLARA?
Durante el análisis, se observó que Solara cifraba archivos y añadía la cadena de texto «.solara» a los nombres de archivo (por ejemplo, «1.png» → «1.png.solara»). El malware también publica una nota de rescate llamada «read_it.txt» que afirma que la víctima activó una protección anticrackeo y les indica que obtengan una herramienta de descifrado de un agente en línea. Varios artículos y análisis de muestra vinculan a Solara con la familia de ransomware Chaos y describen un comportamiento similar (cifrado, sustitución de extensiones y una nota de rescate en texto plano).
NOTA DE RESCATE Y RECLAMACIONES DE PAGO
El mensaje de rescate examinado por los analistas afirma que la recuperación de archivos es prácticamente imposible sin la herramienta de descifrado del atacante. La nota indica a las víctimas que contacten con un usuario de Discord (xenqxd) y sugiere opciones de pago como Paysafecard (en Polonia) o una pequeña cantidad de Bitcoin. Cabe destacar que algunas muestras omiten canales de contacto relevantes, lo que puede indicar una campaña inmadura o de broma, o operadores que simplemente no esperan negociar. Considere estas exigencias con extrema sospecha.
¿PUEDES RECUPERAR ARCHIVOS SIN PAGAR?
En general, los archivos cifrados por amenazas de la familia Chaos no se pueden recuperar sin la clave de descifrado adecuada. Si tiene copias de seguridad limpias y sin conexión anteriores a la infección, restaurarlas es la opción más segura. Se desaconseja pagar, ya que los delincuentes no suelen proporcionar descifradores utilizables y pagar fondos fomenta la actividad delictiva.
VECTORES DE INFECCIÓN COMUNES
- Software pirateado, keygens y utilidades “crackeadas” disfrazadas de malware.
- Archivos adjuntos y enlaces de correo electrónico maliciosos (macros de Office, scripts, EXE).
- Anuncios infectados, sitios de descarga comprometidos o no oficiales, redes P2P/torrent, unidades USB y descargadores de terceros.
ACCIONES INMEDIATAS SI SOSPECHA DE INFECCIÓN
Aísle la máquina inmediatamente : desconéctela de las redes (cableadas/wifi) y desmonte todas las unidades compartidas/de red para detener la propagación lateral.
Preserve la evidencia : no apague y encienda el sistema si está recopilando memoria o artefactos forenses, en su lugar capture imágenes de memoria y disco si tiene la capacidad, o llame al servicio de respuesta a incidentes.
Utilice copias de seguridad : restaure desde copias de seguridad confiables una vez que se haya eliminado el malware y se hayan reconstruido los sistemas; no restaure copias de seguridad que puedan haber estado conectadas en el momento de la infección.
No pague a menos que un equipo de respuesta a incidentes haya evaluado todas las opciones y consecuencias; no se garantiza que el pago funcione y puede fomentar ataques futuros.
MEJORES PRÁCTICAS DE SEGURIDAD
Mantener una defensa actualizada y en capas que incluya las siguientes prácticas en las operaciones diarias:
Gestión de parches : aplique rápidamente las actualizaciones de seguridad del sistema operativo y de las aplicaciones; muchas cepas de ransomware explotan vulnerabilidades conocidas y parcheadas.
Mínimo privilegio e higiene de cuentas : ejecute usuarios con cuentas que no sean de administrador, aplique una autenticación multifactor sólida para el acceso remoto y las cuentas privilegiadas, y monitoree el comportamiento de inicio de sesión inusual.
Estrategia de respaldo : Cree copias de seguridad periódicamente y manténgalas separadas de la red. Al fin y al cabo, las copias de seguridad son el control de recuperación más eficaz contra ataques de cifrado.
Protección de endpoints y EDR : Implemente soluciones confiables de detección y respuesta de endpoints que detecten anomalías de ejecución, bloqueen cargas maliciosas y permitan una rápida contención. Mantenga habilitadas las firmas y la telemetría.
Educación del usuario y resistencia al phishing : capacitar a los usuarios para evitar la ejecución de cracks/keygens, verificar los remitentes y enlaces de correo electrónico, y desconfiar de los archivos adjuntos inesperados. Las campañas simuladas de phishing y de concienciación reducen el factor de riesgo humano.
Controles de aplicación y restricciones de macros : deshabilite las macros de Office de manera predeterminada, bloquee la ejecución desde ubicaciones de abuso comunes (por ejemplo, %AppData%, carpetas temporales) y utilice listas de aplicaciones permitidas cuando sea posible.
NOTAS DE CIERRE
Solara ilustra los riesgos comunes asociados a los desarrolladores de ransomware disponibles públicamente: proliferan las bifurcaciones y variantes, y los atacantes adaptan continuamente sus métodos de distribución para atacar a comunidades específicas (los informes destacan los foros de videojuegos y los canales de software pirateado como posibles señuelos). Las mejores defensas son la prevención, las copias de seguridad robustas, la contención rápida y la colaboración con equipos de respuesta capacitados, no el pago de rescates. Si sospecha de una vulneración y necesita ayuda para una limpieza paso a paso, recopile indicadores de muestra (nombres de archivo, hashes, texto de la nota de rescate) y consulte con un proveedor de respuesta a incidentes de confianza o con su proveedor de seguridad para obtener orientación sobre contención y recuperación.
Mensajes
Se encontraron los siguientes mensajes asociados con Ransomware Solara:
Oh uh, your pc was hacked by Solara Ransomware! |
