😎 60% Descuento:  Curso de Hacking Redes Inalámbricas >> Ver Más

Servidores de Minecraft bajo ataque: Microsoft advierte sobre una botnet DDoS multiplataforma

Una nueva botnet de malware multiplataforma llamada ‘MCCrash’ está infectando dispositivos Windows, Linux e IoT para llevar a cabo ataques distribuidos de denegación de servicio contra servidores de Minecraft.

La red de bots (botnet) fue descubierta por el Equipo de Inteligencia de Amenazas de Microsoft. Según Microsoft, una vez que infecta un dispositivo, la botnet puede propagarse automáticamente a otros sistemas en la red mediante fuerza bruta de las credenciales SSH.

“Nuestro análisis de la botnet DDoS reveló funcionalidades diseñadas específicamente para atacar a servidores Java privados de Minecraft que utilizan paquetes diseñados, muy probablemente como un servicio vendido en foros o sitios de darknet“.

Informe de Microsoft

Actualmente, la mayoría de los dispositivos infectados por MCCrash se encuentran en Rusia. No obstante, también hay víctimas en México, Colombia, Italia, India, Kazajstán y Singapur.

Mapa de calor de las víctimas de MCCrash

Los servidores de Minecraft suelen ser objeto de ataques DDoS, ya sea para molestar a los jugadores en el servidor o como parte de una demanda de extorsión.

En octubre de 2022, Cloudflare informó que mitigó un ataque DDoS sin precedentes de 2.5 Tbbs contra Wynncraft. Wynncraft es uno de los servidores de Minecraft más grandes del mundo.

Peligros del software pirateado

Microsoft dice que los dispositivos se infectan inicialmente con MCCrash después de que los usuarios instalan herramientas de activación de productos de Windows falsas y activadores de licencias de Microsoft Office troyanizados. Por ejemplo herramientas KMS.

Las herramientas de craqueo contienen código PowerShell malicioso que descarga un archivo llamado ‘svchosts.exe‘, que inicia ‘malicious.py‘, el payload principal de la botnet.

Métodos de ataque en script malicious.py

Luego, MCCrash intenta propagarse a otros dispositivos en la red realizando ataques SSH de fuerza bruta en dispositivos de Internet de las Cosas (IoT) y Linux. 

“La botnet se propaga enumerando las credenciales predeterminadas en dispositivos habilitados para Secure Shell (SSH) expuestos a Internet.

Debido a que los dispositivos IoT comúnmente están habilitados para la configuración remota con configuraciones potencialmente inseguras, estos dispositivos podrían estar en riesgo de ataques como esta botnet.

El mecanismo de propagación de la botnet la convierte en una amenaza única. Esto porque si bien el malware se puede eliminar de la PC de origen infectada, podría persistir en dispositivos IoT no administrados en la red y continuar operando como parte de la red de bots”.

– Microsoft

El archivo Python malicioso puede ejecutarse en entornos Windows y Linux. Tras el primer lanzamiento, establece un canal de comunicación TCP con el servidor de comando y control (C2). La comunicación ocurre a través del puerto 4676 y envía información básica del host, como en qué sistema se está ejecutando.

En Windows, MCCrash establece la persistencia agregando un valor de Registro a la clave “Software\Microsoft\Windows\CurrentVersion\Run“, con el ejecutable como su valor.

La cadena de infección y ataque de la botnet 

Atacando servidores de Minecraft

La botnet recibe comandos cifrados del servidor C2 según el tipo de sistema operativo identificado en la comunicación inicial.

El C2 luego envía uno de los siguientes comandos al dispositivo MCCrash infectado para ejecutarlo:

ComandoDescripción
SYNCComprobar que se está ejecutando el malware
PROXY_<url>Establecer servidores proxy
DOWNLOAD_<url>Descargar archivo
EXEC_<comando>Ejecutar un comando específico
SCANNER[ON|OFF]Ataque de credenciales predeterminadas en servidores SSH para propagarse
ATTACK_TCPEnviar payloads TCP aleatorios
ATTACK_[HOLD|HANDSHAKE]Enviar payloads TCP aleatorios a través de proxy
ATTACK_UDPEnviar payload UDP aleatorio
ATTACK_VSEAtaque al protocolo Valve Source Engine
ATTACK_RAKNETAtaque al protocolo RakNet (utilizado por los servidores de Minecraft)
ATTACK_NETTYMinecraft – Paquete de protocolo de inicio de sesión
ATTACK_[MCBOT|MINE]Minecraft – Paquete de inicio de sesión
ATTACK_[MCPING|PING]Minecraft – Paquete de éxito de inicio de sesión
ATTACK_MCDATAMinecraft: paquetes de protocolo de inicio de sesión, inicio de sesión y cierre de ventana
ATTACK_MCCRASHMinecraft: inicia sesión en los paquetes Handshake y Login Start, usando el nombre de usuario con la variable env
ATTACK_JUNKEnviar paquete Tab-Complete
ATTACK_HTTP-GETEnviar solicitud GET
ATTACK_HTTP-FASTEnviar solicitud HEAD
STOP_ATTACKDetener el ataque anterior

La mayoría de los comandos anteriores se especializan en ataques DDoS contra servidores de Minecraft, siendo ‘ATTACK_MCCRASH’ el más notable debido al uso de un método novedoso para bloquear el servidor de destino.

Según Microsoft, los ciberdelincuentes crearon la botnet para apuntar a la versión 1.12.2 del servidor de Minecraft. No obstante, todas las versiones de servidor desde la 1.7.2 hasta la 1.18.2 también son vulnerables a los ataques.

La versión 1.19, lanzada en 2022, no se ve afectada por la implementación actual de los comandos ATTACK_MCCRASH, ATTACK_[MCBOT|MINE] y ATTACK_MCDATA.

Aún así, una cantidad considerable de servidores de Minecraft se ejecutan en versiones anteriores, la mayoría de ellos ubicados en los Estados Unidos, Alemania y Francia.

Distribución de servidores vulnerables de Minecraft

Peligros y contramedidas

“La capacidad única de esta amenaza para utilizar dispositivos IoT que a menudo no se supervisan como parte de la botnet aumenta sustancialmente su impacto y reduce sus posibilidades de ser detectado”

–  Microsoft

Para proteger tus dispositivos IoT de botnets, debes mantener su firmware actualizado. Además, debes cambiar las credenciales predeterminadas con una contraseña segura (larga) y deshabilitar las conexiones SSH si no son necesarias.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información