헤르메스 랜섬웨어, 최신 플래시 취약점 통해 유포

[아이뉴스24 성지은 기자] 보안전문기업 하우리는 최근 '헤르메스(HERMES) 랜섬웨어'가 최신 플래시 취약점을 이용해 유포되고 있다며 12일 사용자 주의를 당부했다.

하우리 인텔리전스 위협 탐지 시스템에 따르면, 지난 8일 오전부터 헤르메스 랜섬웨어 2.1 버전이 최신 플래시 취약점(CVE-2018-4878)을 통해 국내에 유포됐다.

해당 취약점은 최근까지 북한 연구자 등을 대상으로 지능형지속위협(APT) 공격에 사용됐다. 공격자는 플래시가 포함된 문서를 보내 사용자를 랜섬웨어에 감염시켰다.

그러나 공격자들은 이번에 해당 취약점을 웹 서핑 도중 감염되는 '드라이브 바이 다운로드(Drive-by Download)' 형태로 바꿔 랜섬웨어 악성코드 유포에 대중적으로 사용했다.

헤르메스 랜섬웨어는 사용자 PC에 있는 수 천여 종류의 파일을 암호화하며, 폴더마다 'DECRYPT_INFORMATION.html' 라는 이름의 랜섬웨어 감염 노트를 생성한다. 암호를 해제하기 위해서는 약 266만원 상당의 암호화폐(가상화폐)를 몸값으로 지불해야 한다.

특히 헤르메스 랜섬웨어 제작자는 국내 백신 환경에 대해서도 분석해 국내 일부 백신에 대해서 우회하는 기능을 추가하기도 했다.

최상명 침해대응(CERT) 실장은 "지난달에 플래시 패치가 나왔지만 아직도 패치를 하지 않은 사용자가 많다"며 "해당 취약점이 사용되기 시작한 이후 국내 랜섬웨어 감염자가 크게 증가하고 있으므로 아직 패치를 하지 않은 사용자는 반드시 패치를 해야 한다"고 조언했다.