Servidores de Minecraft bajo ataque: Microsoft advierte sobre una botnet DDoS multiplataforma
Una nueva botnet de malware multiplataforma llamada ‘MCCrash’ está infectando dispositivos Windows, Linux e IoT para llevar a cabo ataques distribuidos de denegación de servicio contra servidores de Minecraft.
La red de bots (botnet) fue descubierta por el Equipo de Inteligencia de Amenazas de Microsoft. Según Microsoft, una vez que infecta un dispositivo, la botnet puede propagarse automáticamente a otros sistemas en la red mediante fuerza bruta de las credenciales SSH.
“Nuestro análisis de la botnet DDoS reveló funcionalidades diseñadas específicamente para atacar a servidores Java privados de Minecraft que utilizan paquetes diseñados, muy probablemente como un servicio vendido en foros o sitios de darknet“.
Informe de Microsoft
Actualmente, la mayoría de los dispositivos infectados por MCCrash se encuentran en Rusia. No obstante, también hay víctimas en México, Colombia, Italia, India, Kazajstán y Singapur.
Los servidores de Minecraft suelen ser objeto de ataques DDoS, ya sea para molestar a los jugadores en el servidor o como parte de una demanda de extorsión.
En octubre de 2022, Cloudflare informó que mitigó un ataque DDoS sin precedentes de 2.5 Tbbs contra Wynncraft. Wynncraft es uno de los servidores de Minecraft más grandes del mundo.
Peligros del software pirateado
Microsoft dice que los dispositivos se infectan inicialmente con MCCrash después de que los usuarios instalan herramientas de activación de productos de Windows falsas y activadores de licencias de Microsoft Office troyanizados. Por ejemplo herramientas KMS.
Las herramientas de craqueo contienen código PowerShell malicioso que descarga un archivo llamado ‘svchosts.exe‘, que inicia ‘malicious.py‘, el payload principal de la botnet.
Luego, MCCrash intenta propagarse a otros dispositivos en la red realizando ataques SSH de fuerza bruta en dispositivos de Internet de las Cosas (IoT) y Linux.
“La botnet se propaga enumerando las credenciales predeterminadas en dispositivos habilitados para Secure Shell (SSH) expuestos a Internet.
Debido a que los dispositivos IoT comúnmente están habilitados para la configuración remota con configuraciones potencialmente inseguras, estos dispositivos podrían estar en riesgo de ataques como esta botnet.
El mecanismo de propagación de la botnet la convierte en una amenaza única. Esto porque si bien el malware se puede eliminar de la PC de origen infectada, podría persistir en dispositivos IoT no administrados en la red y continuar operando como parte de la red de bots”.
– Microsoft
El archivo Python malicioso puede ejecutarse en entornos Windows y Linux. Tras el primer lanzamiento, establece un canal de comunicación TCP con el servidor de comando y control (C2). La comunicación ocurre a través del puerto 4676 y envía información básica del host, como en qué sistema se está ejecutando.
En Windows, MCCrash establece la persistencia agregando un valor de Registro a la clave “Software\Microsoft\Windows\CurrentVersion\Run“, con el ejecutable como su valor.
Atacando servidores de Minecraft
La botnet recibe comandos cifrados del servidor C2 según el tipo de sistema operativo identificado en la comunicación inicial.
El C2 luego envía uno de los siguientes comandos al dispositivo MCCrash infectado para ejecutarlo:
| Comando | Descripción |
| SYNC | Comprobar que se está ejecutando el malware |
| PROXY_<url> | Establecer servidores proxy |
| DOWNLOAD_<url> | Descargar archivo |
| EXEC_<comando> | Ejecutar un comando específico |
| SCANNER[ON|OFF] | Ataque de credenciales predeterminadas en servidores SSH para propagarse |
| ATTACK_TCP | Enviar payloads TCP aleatorios |
| ATTACK_[HOLD|HANDSHAKE] | Enviar payloads TCP aleatorios a través de proxy |
| ATTACK_UDP | Enviar payload UDP aleatorio |
| ATTACK_VSE | Ataque al protocolo Valve Source Engine |
| ATTACK_RAKNET | Ataque al protocolo RakNet (utilizado por los servidores de Minecraft) |
| ATTACK_NETTY | Minecraft – Paquete de protocolo de inicio de sesión |
| ATTACK_[MCBOT|MINE] | Minecraft – Paquete de inicio de sesión |
| ATTACK_[MCPING|PING] | Minecraft – Paquete de éxito de inicio de sesión |
| ATTACK_MCDATA | Minecraft: paquetes de protocolo de inicio de sesión, inicio de sesión y cierre de ventana |
| ATTACK_MCCRASH | Minecraft: inicia sesión en los paquetes Handshake y Login Start, usando el nombre de usuario con la variable env |
| ATTACK_JUNK | Enviar paquete Tab-Complete |
| ATTACK_HTTP-GET | Enviar solicitud GET |
| ATTACK_HTTP-FAST | Enviar solicitud HEAD |
| STOP_ATTACK | Detener el ataque anterior |
La mayoría de los comandos anteriores se especializan en ataques DDoS contra servidores de Minecraft, siendo ‘ATTACK_MCCRASH’ el más notable debido al uso de un método novedoso para bloquear el servidor de destino.
Según Microsoft, los ciberdelincuentes crearon la botnet para apuntar a la versión 1.12.2 del servidor de Minecraft. No obstante, todas las versiones de servidor desde la 1.7.2 hasta la 1.18.2 también son vulnerables a los ataques.
La versión 1.19, lanzada en 2022, no se ve afectada por la implementación actual de los comandos ATTACK_MCCRASH, ATTACK_[MCBOT|MINE] y ATTACK_MCDATA.
Aún así, una cantidad considerable de servidores de Minecraft se ejecutan en versiones anteriores, la mayoría de ellos ubicados en los Estados Unidos, Alemania y Francia.
Peligros y contramedidas
“La capacidad única de esta amenaza para utilizar dispositivos IoT que a menudo no se supervisan como parte de la botnet aumenta sustancialmente su impacto y reduce sus posibilidades de ser detectado”
– Microsoft
Para proteger tus dispositivos IoT de botnets, debes mantener su firmware actualizado. Además, debes cambiar las credenciales predeterminadas con una contraseña segura (larga) y deshabilitar las conexiones SSH si no son necesarias.
