Resumen:
Un nuevo malware multiplataforma está infectando los dispositivos Windows, Linux e IoT para realizar ataques de denegación de servicio distribuidos (DDoS).
Se trata de una innovadora red de bots que se ha dado a conocer por desarrollar funcionalidades avanzadas para lanzar ataques contra servidores privados.
Mejor conocida como MCCrash, la amenaza se propaga utilizando las credenciales por defecto de los dispositivos que ejecutan Secure Shell (SSH) y están abiertos a internet.
Los investigadores de Microsoft descubrieron que los primeros puntos de entrada de la botnet eran dispositivos anteriormente comprometidos por la instalación de herramientas maliciosas de cracking que afirmaban poder obtener licencias ilegales de Windows.
Dichas herramientas, contienen un código PowerShell malicioso que se encarga de descargar un archivo (svchosts.exe) cuyo objetivo es lanzar la carga útil principal de la botnet (malicious.py).
Una vez hecho esto, el malware intenta propagarse a más dispositivos de la red, incluidos dispositivos Linux e IoT con ataques SSH de fuerza bruta.
Tras el lanzamiento inicial de la amenaza, se crea un canal de comunicación TCP a través del puerto 4676 con el servidor C2. Esto crea un canal de comunicación entre el host y el servidor controlado por los atacantes, lo que permite el envío de información básica del ordenador infectado.
En particular, en los sistemas Windows, el malware establece la persistencia añadiendo un valor de Registro a la clave “Software\Microsoft\Windows\CurrentVersion\Run”, con el ejecutable como valor.
Finalmente, MCCrash utiliza principalmente los comandos DDoS de servidor conocidos para lanzar los ataques de denegación de servicio distribuidos (DDoS).
De acuerdo con el análisis de Microsoft, el mecanismo de propagación de MCCrash es prácticamente único, ya que aunque el malware puede eliminarse de la máquina origen infectada, sus capacidades le permiten persistir en los dispositivos IoT no gestionados de la red y seguir operando como parte de la botnet
El desarrollo de esta nueva botnet abre el panorama de la ciberdelincuencia para un nuevo método de ataque.
Dicho esto, es necesario que los usuarios ejecuten soluciones antimalware en todos sus dispositivos y utilicen las mejores prácticas de ciberseguridad.
En especial, para mitigar los ataques de MCCrash, los analistas de Microsoft recomiendan mantener actualizado el firmware de los dispositivos IoT, cambiar las contraseñas por defecto por una más fuerte y desactivar las conexiones SSH cuando no estén siendo utilizadas.
Recomendaciones:
Medidas para prevenir la descarga de malware
Mantenga todos sus dispositivos actualizados y parcheados
Active la autenticación de dos factores
No descargue archivos sospechosos
No abra enlaces que provengan de fuentes desconocidas
Ejecute soluciones anti-malware
Referencias:
https://cybersecuritynews.com/ddos-botnet-malware-infecting-windows/
https://www.techradar.com/news/microsoft-uncovers-ddos-campaign-targeting-minecraft-servers
SÍGUENOS