Важно: большая часть заражённых устройств находится в России.

В блоге компании Microsoft появилась статья о кроссплатформенном ботнете, который занимается DDOS-атаками частных серверов Minecraft Java Edition.

Механизм распространения таков, что после удаления вредоносного кода с зараженного ПК, он может остаться на устройствах, которые «подхватили» его от компьютера, и эти устройства продолжат быть частью ботнета.

Судя по всему, главным источником распространения является активатор пиратской Windows 10, который помимо самой активации дополнял систему фальшивой версией файла svhost.exe.

Эта программа запускала скрипт, который сканировал сеть на наличие устройств под управлением Linux (Ubuntu, CentOS и Debian), а также Raspbian (операционная система устройств Raspberry Pi), на которых было включено удалённое управление. Зловред пытался получить доступ к устройству путём перебора стандартных паролей и, если всё происходило успешно, загружал на него копию скрипта и средства для его запуска.

География заражённых устройств, входящих в ботнет. Изображение: Microsoft.com

Ботнет умеет исполнять разные команды, но среди них есть несколько, по которым можно судить, что он создавался специально для атаки на серверы Minecraft — это атаки с использованием протоколов Raknet и Netty, включая отправку сетевых пакетов Minecraft. Для повышения эффективности атаки используется уязвимость в библиотеке Log4j. В результате такой атаки сервер быстро зависает.

Интересно, что целью ботнета являются серверы версии 1.12.2, хотя исследователи отмечают, что он может успешно использоваться для атаки серверов с версии 1.7.2 по 1.18.2.

В Minecraft 1.19 произошли изменения протокола, благодаря чему ботнет не сможет атаковать серверы версии 1.19.х.

В статье приводится скриншот активаторов Windows, с помощью которых заражались пользовательские компьютеры.

Скриншот активаторов, которые устанавливали вредоносное ПО. Изображение: Microsoft.com

Судя по всему, они активно распространялись в России, чем и объясняется география ботнета.

Поэтому если у вас на ПК установлена пиратская версия Windows, и вы её активировали чем-то похожим, то вам не помешает воспользоваться антивирусом.

А если у вас есть собственный сервер Minecraft, то не помешает обновить его до версии 1.19.

MCCrash: Cross-platform DDoS botnet targets private Minecraft servers

microsoft.com