Una nueva botnet multiplataforma llamada ‘MCCrash’ está infectando dispositivos Windows, Linux e IoT para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) en servidores de Minecraft.

El equipo de inteligencia de amenazas de Microsoft ha sido el que ha descubierto esta red de bots. Según apuntan, una vez que infecta un dispositivo, puede propagarse automáticamente a otros sistemas en la red mediante la fuerza bruta de las credenciales SSH.

«Nuestro análisis de la red de bots ha revelado funcionalidades diseñadas específicamente para apuntar a servidores privados de Minecraft Java que utilizan paquetes diseñados, muy probablemente como un servicio vendido en foros o sitios de darknet», se explica en el informe.

Además, también señala que la mayoría de los dispositivos infectados por MCCrash se encuentran en Rusia, pero también hay víctimas en México, Italia, India, Kazajstán y Singapur.

Los servidores de Minecraft suelen ser objeto de ataques DDoS, ya sea para molestar a los jugadores en el servidor o como parte de una demanda de extorsión. Por ejemplo, el pasado mes de octubre, Cloudflare consiguió mitigar un ataque DDoS de 2,5 Tbbs que batió récords contra Wynncraft, uno de los servidores de Minecraft más grandes del mundo.

En este caso, Microsoft señala que los dispositivos se infectan inicialmente con MCCrash después de que los usuarios instalen herramientas de activación de productos de Windows falsas y activadores de licencias de Microsoft Office con troyanos.

Las herramientas de craqueo contienen código PowerShell malicioso que descarga un archivo llamado ‘svchosts.exe’, que inicia ‘malicious.py’, la carga principal de la red de bots.

Posteriormente, MCCrash intenta propagarse a otros dispositivos en la red realizando ataques SSH de fuerza bruta en dispositivos IoT y Linux.

mccrash botnet servidores minecraft ataques ddos IoT Windows Linux países afectados noticia bit life media

Las particularidades de MCCrash

El mecanismo de propagación de la red de bots convierte a esta amenaza en única porque, si bien el malware se puede eliminar del PC de origen infectado, podría persistir en dispositivos IoT no gestionados en la red. De esta forma, podría seguir operando como parte de la red de bots.

El archivo de Python malicioso puede ejecutarse en entornos Windows y Linux. Tras el primer lanzamiento, establece un canal de comunicación TCP con el servidor C2 a través del puerto 4676 y envía información básica del host, como en qué sistema se está ejecutando.

La botnet recibe comandos cifrados del servidor C2 según el tipo de sistema operativo identificado en la comunicación inicial. Posteriormente, este servidor envía un comando al dispositivo MCCrash infectado para ejecutarlo.

Según Microsoft, los actores de amenazas crearon la botnet para la versión 1.12.2 del servidor de Minecraft, pero todas las versiones de servidor desde la 1.7.2 hasta la 1.18.2 también son vulnerables a los ataques.

La versión 1.19, lanzada en 2022, no está afectada por la implementación actual de los comandos ATTACK_MCCRASH, ATTACK_[MCBOT|MINE] y ATTACK_MCDATA. No obstante, una cantidad considerable de servidores de Minecraft se ejecutan en versiones anteriores, la mayoría de ellos ubicados en los Estados Unidos, Alemania y Francia.

Según Microsoft, «la capacidad de esta amenaza para utilizar dispositivos IoT como parte de la botnet, y que no se suelen supervisar, aumenta sustancialmente su impacto y reduce sus posibilidades de ser detectado».

Para proteger los dispositivos IoT de botnets, es clave mantener actualizado el firmware, cambiar las credenciales predeterminadas con una contraseña segura, y deshabilitar las conexiones SSH si no son necesarias.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre