Tsunami es un malware especializado en ataques de Denegación de Servicio Distribuidos (DDoS) que se dirige a servidores Linux mal gestionados. Distribuido principalmente a través de conexiones SSH vulnerables, este software malicioso permite a los atacantes acceder a los servidores mediante ataques de fuerza bruta o diccionario. Una vez dentro, los atacantes instalan Tsunami junto con otros programas maliciosos como ShellBot y XMRig CoinMiner. Tsunami destaca porque utiliza el protocolo de chat IRC para comunicarse y recibir órdenes, lo que lo hace difícil de detectar. Este malware no solo facilita ataques DDoS, sino que también puede manipular registros del sistema y minar criptomonedas, maximizando la explotación de los recursos del servidor infectado.

El código fuente de Tsunami es público, lo que permite a diversos actores de amenazas modificarlo y adaptarlo para sus propios fines, aumentando así su prevalencia y peligrosidad en el ecosistema de amenazas.

Funcionamiento

Tsunami es un malware diseñado para realizar ataques de Denegación de Servicio Distribuidos (DDoS) en servidores Linux. Su funcionamiento implica varias etapas clave:

  1. Acceso Inicial: Los atacantes utilizan ataques de diccionario o fuerza bruta para obtener acceso a servidores Linux mal gestionados a través de SSH. Una vez dentro, instalan Tsunami junto con otros programas maliciosos.
  2. Instalación y Persistencia: Tras el acceso, Tsunami se descarga y se instala en el sistema. Modifica archivos críticos, como /etc/rc.local, para asegurarse de que se ejecute automáticamente cada vez que se reinicie el servidor. Además, cambia su nombre de proceso a algo inofensivo, como [kworker/0:0], para evitar ser detectado fácilmente.
  3. Comunicación con el C&C: Tsunami se conecta a un servidor de Comando y Control (C&C) utilizando el protocolo de chat IRC. Este protocolo, que permite la comunicación en tiempo real, es aprovechado por Tsunami para recibir órdenes de los atacantes y enviar información robada.
  4. Ejecutar Comandos Maliciosos: Una vez conectado al servidor IRC, Tsunami espera órdenes del atacante. Estos comandos pueden incluir la ejecución de diferentes tipos de ataques DDoS, recopilación de información del sistema, ejecución de comandos de shell y la creación de shells inversos.
  5. Ataques DDoS: Tsunami puede ejecutar varios tipos de ataques DDoS, como inundaciones SYN, ACK, y UDP. Estos ataques consisten en enviar un gran volumen de tráfico a un objetivo específico para saturar su capacidad y hacerlo inaccesible.
  6. Encubrimiento y Persistencia Adicional: Tsunami también puede instalar otros tipos de malware, como limpiadores de registros, que borran las huellas de su actividad, y programas de minería de criptomonedas, como XMRig CoinMiner, para obtener ganancias económicas a expensas de los recursos del servidor infectado.

Impacto y consecuencias

El impacto y las consecuencias de un ataque del malware Tsunami pueden ser significativas y variadas, afectando tanto al rendimiento del sistema como a la seguridad de la información:

  1. Interrupción del Servicio: Tsunami está diseñado para ejecutar ataques de Denegación de Servicio Distribuidos (DDoS). Estos ataques pueden inundar un servidor con tráfico malicioso, causando que el servicio se vuelva inaccesible para los usuarios legítimos. Esto puede resultar en pérdida de ingresos, reputación dañada y frustración de los clientes.
  2. Consumo de Recursos del Sistema: Además de los ataques DDoS, Tsunami puede instalar programas de minería de criptomonedas como XMRig CoinMiner. Estos programas utilizan una gran cantidad de recursos del sistema (CPU y GPU) para minar criptomonedas, lo que puede ralentizar significativamente el rendimiento del servidor, afectando la operatividad de aplicaciones y servicios críticos.
  3. Riesgo de Seguridad: Tsunami instala una cuenta SSH de puerta trasera, permitiendo a los atacantes recuperar el acceso al sistema incluso si se eliminan los archivos maliciosos principales. Esto perpetúa el riesgo de que los atacantes puedan seguir explotando el sistema para otros fines maliciosos, como el robo de información o la instalación de más malware.
  4. Evasión y Persistencia: Tsunami emplea técnicas para ocultar su presencia, como cambiar su nombre de proceso a algo inofensivo y utilizar limpiadores de registros que borran las huellas de su actividad. Esto dificulta la detección y eliminación del malware, permitiendo que permanezca en el sistema por más tiempo y continúe sus actividades maliciosas sin ser notado.
  5. Pérdida de Datos: Si los atacantes utilizan el acceso proporcionado por Tsunami para robar datos, la organización puede enfrentar pérdidas significativas de información sensible o confidencial. Esto puede llevar a consecuencias legales, pérdida de confianza de los clientes y daños a la reputación de la empresa.
  6. Costos de Recuperación: La respuesta a un ataque de malware Tsunami puede implicar costos significativos en términos de tiempo y recursos. Esto incluye la identificación y eliminación del malware, restauración de sistemas afectados, implementación de medidas de seguridad adicionales y posiblemente, responder a obligaciones regulatorias si hubo una brecha de datos.

Origen y Motivación

El malware Tsunami, también conocido como Kaiten, tiene su origen en la comunidad de ciberdelincuentes y su código fuente está disponible públicamente, lo que permite que múltiples actores de amenazas lo modifiquen y utilicen. Su principal motivación es explotar sistemas vulnerables, especialmente servidores SSH Linux mal administrados y dispositivos IoT, para realizar ataques DDoS que interrumpen servicios y minar criptomonedas utilizando XMRig CoinMiner. Al hacerlo, los atacantes pueden generar ingresos financieros y mantener el control de los sistemas comprometidos para futuros usos maliciosos.

Tsunami se puede catalogar principalmente como un botnet y un DDoS bot. Aquí está la razón:

  1. Botnet: Tsunami crea una red de dispositivos infectados que son controlados de forma remota por un atacante. Los dispositivos comprometidos, conocidos como bots, pueden recibir comandos desde un servidor central para realizar diversas actividades maliciosas.
  2. DDoS bot: Su principal función es realizar ataques de denegación de servicio distribuido (DDoS), inundando a las víctimas con tráfico para interrumpir sus servicios.

Familias de malware