Investigadores del prestigioso Cybersecurity Institute of the University of Miskatonic (Arkham, Estado de Massachusetts) creen haber hallado el misterio que rodea al ransomware denominado “Ragnar Locker” según comentan en su última publicación.
Se trata de un ransomware que sorprendió a toda la industria de la ciberseguridad por su modo de trabajo. Resulta ocupar tan sólo 49KB, sin embargo, realmente no es el encargado de realizar el cifrado, sino que para ello, descarga una máquina virtual basada de Windows XP bajo Virtual Box de unos 280MB para realizar el cifrado.
“… Parece una treta muy ingeniosa…”, comenta su investigador principal, el Dr. Charles D. Ward, quien prosigue, “…sin embargo, cuando tratamos de hacer reversing al binario de 49KB, vemos que es completamente absurdo, ilógico, en lo que a su estructura y compilación se refiere, pareciendo incluso casual que pueda llegar a ejecutarse, recordándonos a programas básicos generados por sistemas de Redes Neuronales o Inteligencia Artificial…”. Es decir, al parecer podría no haber sido programado por un “humano”, pues por muchas técnicas de ofuscación que se empleen, siempre acabamos detectando la “lógica” tras ello. Esto no ha sucedido con dicho binario.
Sin embargo, la investigación dio un giro radical por una coincidencia, uno de los doctorandos, William Dyer solía hacer backup de sus trabajos en un iPod, introduciendo el famoso binario en él (https://www.wired.com/2002/11/beyond-mp3s-ipod-holds-genome/). Casualmente, en su trayecto al día siguiente a la Universidad, al pasar de canción, un extraño sonido pudo ser escuchado por sus auriculares. Al ver qué canción, pudo comprobar que se trataba del binario Ragnar Locker. Cuando se la puso a sus compañeros, el también doctorando Frank H. Pabodie, aficionado a análisis de señales con dispositivos SDR pudo comprobar que parecía una señal del tipo “slot machine” (https://www.rtl-sdr.com/tag/japanese-slot-machine/), parecida a la utilizada por la armada japonesa en sus transmisiones cifradas, pero por cómo comenzaba y terminaba tampoco llegaba a coincidir.
Hablando con el departamento de Radio Astronomía, el profesor Warren Rice pudo comprobar que era idéntica a la famosa señal WoW(https://es.wikipedia.org/wiki/Se%C3%B1al_Wow!), recibida en agosto de 1977 desde el cúmulo de estrellas M13, cuatro años más tarde que el envío del famoso mensaje de Arecibo enviado también hacia allí (https://es.wikipedia.org/wiki/Mensaje_de_Arecibo). ¿Es posible que pudiera tener relación?
