Le vecchie cartelle cache del browser e di Windows possono diventare un nascondiglio perfetto per malware e file dannosi.
In molte infezioni recenti, come quelle legate al ransomware Yurei, i criminali informatici sfruttano directory poco visibili (come cartelle di cache o temporanee) per memorizzare file malevoli che passano inosservati agli utenti meno esperti.
La buona notizia è che puoi ridurre subito il rischio con poche azioni pratiche:
– Svuota regolarmente cache e file temporanei del browser e del sistema.
– Mantieni attivo e aggiornato un antivirus affidabile.
– Esegui backup periodici dei tuoi dati importanti su supporti esterni o su cloud sicuro.
Questi semplici passi non fermano tutte le minacce, ma abbassano drasticamente la probabilità che un file nascosto in una cartella di cache possa causare danni gravi.
—
Perché le vecchie cartelle cache sono un problema
Le cartelle cache nascono per una buona ragione: velocizzare il caricamento di pagine, programmi e contenuti già utilizzati.
Nel tempo però queste cartelle:
– si riempiono di file che non servono più
– diventano disordinate e difficili da controllare
– possono contenere file scaricati senza che l’utente se ne accorga
Per un attaccante, questo è l’ambiente ideale per nascondere file eseguibili dannosi, script o installer malevoli che restano in attesa del momento giusto per essere eseguiti, magari tramite un altro malware o un allegato.
In scenari più avanzati, come quelli legati a campagne di ransomware, i criminali possono creare nuove sottocartelle all’interno di directory di cache (ad esempio aree usate da browser o componenti di sistema) per depositare i propri payload. L’utente vede solo una cartella tecnica, spesso con un nome poco leggibile, e tende a ignorarla.
—
Che cos’è Yurei e perché se ne parla
Yurei è un ransomware relativamente recente, emerso in campagne che combinano cifratura dei file e furto di dati per aumentare la pressione sulle vittime.
In pratica, quando un sistema viene compromesso:
– i file vengono cifrati e resi inaccessibili
– i dati sensibili possono essere copiati e trasferiti ai server degli attaccanti
– la vittima riceve una richiesta di riscatto accompagnata dalla minaccia di pubblicare o vendere i dati rubati
Yurei si basa su una base di codice open source, e questo gli permette di evolvere rapidamente. Gli operatori possono adattare il malware, modificare le routine di cifratura, cambiare estensioni dei file colpiti e ottimizzare la velocità di esecuzione.
Una delle tecniche spesso osservate nelle campagne di malware è proprio l’uso di directory poco visibili o tecniche, come aree di cache, cartelle temporanee o directory interne di componenti di sistema, per:
– memorizzare file di installazione malevoli (ad esempio pacchetti MSI)
– salvare script di supporto (PowerShell, batch, file eseguibili intermedi)
– conservare strumenti per movimento laterale o raccolta dati
Questo approccio consente al malware di mimetizzarsi in mezzo a tanti altri file tecnici, riducendo la possibilità che l’utente medio lo individui.
—
Cosa può succedere se un malware sfrutta la cache
Quando un malware riesce a sfruttare cartelle di cache o directory simili, può:
– Mantenere la persistenza: i file restano salvati sul disco anche dopo riavvii del sistema.
– Aggirare controlli superficiali: chi controlla solo Documenti, Desktop o Download potrebbe non notare nulla.
– Preparare fasi successive dell’attacco: un file nascosto in cache può essere avviato in un secondo momento da un altro componente.
Nel caso dei ransomware moderni, incluso Yurei e minacce simili, lo scopo finale non è solo bloccare i file, ma spesso:
– individuare e cifrare il maggior numero possibile di file utili
– cercare condivisioni di rete (SMB, NAS, server) accessibili dal dispositivo
– cancellare o sabotare i backup rilevati
– esfiltrare dati sensibili per il cosiddetto “double extortion” (doppia estorsione)
Se l’infezione parte da un file nascosto in una cartella cache, l’utente può non accorgersene sino a quando:
– riceve il messaggio di riscatto
– trova i file rinominati e cifrati
– vede applicazioni che non si aprono più o cartelle vuote
—
Azioni immediate per utenti non tecnici
Per ridurre rapidamente i rischi legati a vecchie cartelle cache e malware che le sfruttano, puoi seguire questi passaggi:
1. Pulizia regolare di cache e temporanei
– Usa gli strumenti integrati nel sistema operativo (come pulizia disco o impostazioni del browser) per cancellare periodicamente:
– cache del browser
– file temporanei di sistema
– cronologia dei download
– Imposta, se possibile, una pulizia automatica programmata.
2. Aggiorna antivirus e sistema
– Verifica che il tuo antivirus sia attivo, aggiornato e con protezione in tempo reale.
– Attiva, se previsto, la protezione specifica contro ransomware.
– Mantieni aggiornati Windows, browser e applicazioni, così riduci le vulnerabilità che il malware può sfruttare.
3. Backup regolari e testati
– Esegui backup dei tuoi file più importanti su:
– disco esterno scollegato quando non lo usi
– spazio cloud affidabile
– Prova periodicamente a ripristinare un file dal backup per essere sicuro che funzioni.
4. Attenzione a email e download
– Non aprire allegati o link inattesi, soprattutto se provengono da mittenti sconosciuti.
– Diffida di fatture, avvisi di corrieri o comunicazioni bancarie non attese.
– Scarica software solo da siti ufficiali o store affidabili.
—
Consigli extra per uffici e piccole aziende
Se gestisci più postazioni, anche in un piccolo ufficio, le cartelle cache trascurate e un singolo PC infetto possono mettere a rischio tutta la rete interna.
Oltre ai consigli per gli utenti singoli:
– definisci una policy di pulizia periodica delle cache sui PC aziendali
– usa soluzioni di sicurezza centralizzate per controllare antivirus e aggiornamenti
– limita i permessi degli utenti, evitando che tutti abbiano diritti amministrativi
– prevedi una procedura chiara in caso di sospetto incidente (a chi segnalare, cosa scollegare, cosa non fare)
Una gestione più attenta delle aree di cache e dei file temporanei aiuta a ridurre la superficie di attacco e a individuare più velocemente anomalie.
—
Technical Deep Dive
Questa sezione è pensata per tecnici, amministratori di sistema e professionisti IT che desiderano una visione più approfondita dei rischi legati alle cartelle cache in scenari di ransomware come Yurei.
Uso di directory “nascondiglio” in catene di infezione
Molte famiglie di malware sfruttano:
– directory di cache del browser (es. profili di Edge, Chrome o altri)
– cartelle in %TEMP%, %APPDATA%, %LOCALAPPDATA%
– sottocartelle create dinamicamente con nomi pseudo‑casuali
per depositare:
– loader (eseguibili leggeri che scaricano il payload principale)
– installer MSI o pacchetti simili
– script PowerShell o batch
Queste directory vengono privilegiate perché:
– spesso hanno permessi più permissivi
– sono considerate “rumorose” e quindi meno monitorate manualmente
– sono regolarmente scritte da software legittimo, mascherando il traffico malevolo
Yurei e modello di attacco
Yurei adotta un modello di doppia estorsione:
- Scansione dei drive locali e delle condivisioni di rete accessibili.
- Selezione dei file da cifrare, in genere evitando directory critiche di sistema.
- Cifratura dei dati con algoritmi moderni e generazione di chiavi e nonce unici per ogni file.
- Esfiltrazione preventiva dei dati sensibili verso infrastrutture controllate dall’attaccante.
- Eliminazione o alterazione dei backup quando possibile.
La memorizzazione del payload in cartelle di cache o temporanee può rappresentare una fase intermedia, prima dell’avvio della cifratura vera e propria.
Meccanismi di cifratura e chiavi
Le varianti moderne di ransomware, Yurei incluso, impiegano tipicamente:
– algoritmi simmetrici veloci (ad esempio stream cipher o AES) per cifrare il contenuto dei file
– schemi asimmetrici (come ECIES basato su curve ellittiche) per proteggere le chiavi per‑file
La logica comune è:
– per ogni file viene generata una chiave simmetrica e un nonce univoci
– il file viene cifrato con questa coppia
– chiave e nonce vengono a loro volta cifrati con la chiave pubblica dell’attaccante
– il tutto viene memorizzato nella struttura del file cifrato
In questo modo, solo chi possiede la chiave privata corrispondente può decifrare le chiavi per‑file, rendendo impraticabile la decrittazione senza collaborazione dell’attaccante, salvo errori implementativi.
Implicazioni per incident response
Dal punto di vista di chi gestisce la risposta agli incidenti, le cartelle cache e temporanee dovrebbero essere:
– sempre incluse nella raccolta di artefatti forensi (acquisizione disco, timeline, triage)
– soggette a regole di monitoraggio specifiche in strumenti EDR/XDR
– analizzate alla ricerca di:
– file MSI o EXE anomali
– script PowerShell offuscati
– pattern di naming sospetto o recente creazione/rimozione di directory
Inoltre, l’abilitazione e la corretta configurazione di Volume Shadow Copy Service (VSS) può offrire margini di recupero, soprattutto in scenari in cui il ransomware non elimina sistematicamente le shadow copies. Tuttavia, la presenza di ombre di volume non impedisce l’esfiltrazione e la pubblicazione dei dati, che resta il fulcro del modello di doppia estorsione.
Raccomandazioni tecniche
Per ridurre l’uso malevolo di cartelle cache e percorsi simili:
– implementare Application Control o allow‑listing dove possibile
– rafforzare la telemetria e il logging su directory comunemente abusate (cache browser, %TEMP%, %APPDATA%)
– adottare regole di behavioral detection focalizzate su:
– processi che eseguono da percorsi inconsueti
– uso di strumenti legittimi (PowerShell, msiexec, wscript) con parametri sospetti
– segmentare la rete e limitare i privilegi, così da ridurre il movimento laterale una volta che il payload è attivo
Una strategia che combina hardening dei sistemi, monitoraggio mirato delle directory di cache e procedure di risposta ben definite è essenziale per mitigare gli impatti di ransomware come Yurei e di altre famiglie che adottano tattiche simili.
Fonte: https://cybersecuritynews.com/yurei-ransomware-analysis/
