Contenido
ToddyCat , una pandilla de amenazas persistentes avanzadas (APT), ha estado atacando y explotando servidores Exchange vulnerables en toda Europa y Asia desde diciembre de 2020. Entre diciembre de 2020 y febrero de 2021, la pandilla apuntó y atacó a un número limitado de entidades en Vietnam y Taiwán. La pandilla atacó exclusivamente servidores Exchange previamente comprometidos con Samurai, una puerta trasera pasiva avanzada que funciona en los puertos 443 y 80.
Usaron el malware para ejecutar código arbitrario y múltiples módulos para administrar, controlar y moverse lateralmente de forma remota en la red objetivo. En algunos casos, la puerta trasera Samurai también se usó para ejecutar otro sofisticado cargador de troyanos llamado Ninja. También utilizaron China Chopper, un shell web de 4 KB, para obtener acceso al servidor y descargar y ejecutar otro cuentagotas.
Sin embargo, la pandilla ToddyCat APT comenzó a atacar más servidores entre febrero de 2021 y mayo de 2021. Durante esta ola de ataques, la pandilla explotó el infame ProxyLogon Vulnerabilidad RCE en los servidores Exchange sin parches. Esta vez, la pandilla apuntó a muchos países prominentes, incluidos Rusia, Afganistán, India, Irán, Malasia, Pakistán, Eslovaquia, Tailandia y el Reino Unido.
En la siguiente ola de ataques, hasta febrero de 2022, la pandilla ToddyCat aumentó el alcance de los ataques y apuntó a organizaciones en Indonesia, Kirguistán y Uzbekistán, además de los países previamente atacados.
¿Cómo proteger su entorno de servidor Exchange de ToddyCat?
Para proteger y salvaguardar su Exchange Server y la infraestructura de red de los ataques de ToddyCat o ransomware, instale las actualizaciones acumulativas y las actualizaciones de seguridad más recientes en su Exchange Server para parchear las vulnerabilidades. Además, considere actualizar a la última versión, si su organización usa una versión anterior de Exchange Server.
Además, siga los pasos a continuación para verificar el estado de su servidor y detectar vulnerabilidades.
Paso 1: Ejecute el escaneo MSERT
La herramienta Microsoft Safety Scanner o MSERT analiza los servidores en busca de malware o shells web instalados en su entorno de Windows Server y los elimina del sistema. He aquí cómo usarlo:
- Descargue el Escáner de seguridad de Microsoft y luego ábralo.
- Acepte los términos y haga clic Siguiente > Siguiente .
- Seleccione el tipo de escaneo y haga clic en próximo para iniciar el escaneo.
- Según el tipo de escaneo, esto puede demorar un tiempo en completarse
- Los resultados se registran y almacenan. a %SYSTEMROOT%debugmsert.log .
Paso 2: use el script PowerShell de Health Checker
Puede descargar el script HealthChecker.ps1 desde la página oficial de GitHub y seguir los pasos a continuación para ejecutarlo en su Microsoft Exchange Server 2013, 2016 o 2019. El script lo ayuda a verificar el estado del servidor, detectar vulnerabilidades y parchearlas. Sigue estos pasos:
- Inicie Exchange Management Shell (EMS) y ejecute el siguiente comando. Esto le permitirá ejecutar el script HealthChecker.ps1 sin errores.
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
- Navegue a la ubicación de la carpeta donde se encuentra el script HealthChecker.ps1 usando el ‘ discos compactos’ Comando en el EMS. Por ejemplo,
cd C:UsersYourUserNameDownloads
- Luego ejecute el siguiente comando para ejecutar el script HealthChecker.ps1 en su Microsoft Exchange Server.
.HealthChecker.ps1 –BuildHtmlServersReport
- Esto generará un informe detallado en un archivo HTML. El archivo se guarda en la misma carpeta donde se encuentra el script HealthChecker.ps1.
- Haga doble clic en el archivo de informe HTML para abrirlo en un navegador web, como Google Chrome o Microsoft Edge.
- Compruebe y corrija los problemas resaltados con Rojo .
- Al final, revisa la sección de vulnerabilidades. Luego, use los enlaces para descargar las actualizaciones e instalarlas en su servidor.
Puede seguir nuestra guía detallada para descargar e instalar las últimas actualizaciones de Exchange Server.
Conclusión
ToddyCat no es una pandilla APT nueva, sino menos conocida, que ha estado apuntando a los servidores de Microsoft Exchange desde diciembre de 2020. Es una pandilla APT sofisticada que utiliza varias técnicas para mantener un perfil bajo y evitar la detección. Se dirigen a servidores Microsoft Exchange previamente comprometidos o vulnerables y sin parches para robar o cifrar datos a cambio de un rescate. Ha afectado a entidades gubernamentales y privadas, incluido el ejército, principalmente en Asia y Europa. La mejor defensa contra ToddyCat o los grupos de ransomware es instalar las últimas actualizaciones acumulativas y de seguridad publicadas por Microsoft lo antes posible. Sin embargo, si su servidor se ve comprometido o falla debido a ToddyCat o cualquier otro ataque malicioso, se recomienda que configure un nuevo servidor y restaure las bases de datos del buzón de correo desde la copia de seguridad o use el software de recuperación de Exchange, como Stellar Repair for Exchange.
