침해사고/위협동향

최신 플래시 취약점 이용한 ‘헤르메스’ 랜섬웨어 감염 주의

최민지
[디지털데일리 최민지기자] 하우리(대표 김희천)는 최근 ‘헤르메스(HERMES)’ 랜섬웨어가 최신 플래시 취약점을 이용해 유포되고 있어 국내 피해자가 크게 증가함에 따라 사용자 주의가 필요하다고 12일 밝혔다.

하우리 인텔리전스 위협 탐지 시스템(Radar)에 따르면 지난 8일 오전부터 헤르메스 랜섬웨어 2.1 버전이 최신 플래시 취약점인 ‘CVE-2018-4878’으로 국내에 유포되기 시작했다. 기존 선다운(Sundown) 익스플로잇킷에 해당 취약점이 적용되며, 국내 피해자들이 크게 늘고 있다.

특히 이 취약점은 최근까지 탈북자 및 북한 연구자 등을 대상으로 문서에 플래시가 포함된 형태로 지능형지속위협(APT) 공격에 사용됐다. 하지만 해당 취약점을 웹 서핑 도중 감염되는 ‘드라이브 바이 다운로드(Drive-by Download)’ 형태로 변형해 랜섬웨어 악성코드 유포에 대중적으로 사용하기 시작한 것이다.

헤르메스 랜섬웨어는 사용자 PC에 있는 수천여 종류의 파일들을 암호화한다. 이후 폴더마다 ‘DECRYPT_INFORMATION.html’라는 이름의 랜섬웨어 감염 노트를 생성해 약 266만원 상당의 가상화폐로 몸값을 내도록 유도한다.

헤르메스 랜섬웨어 제작자는 국내 백신 환경에 대해서도 분석해 국내 일부 백신에 대해서 우회하는 기능을 추가하기도 했다.

최상명 CERT 실장은 “지난달에 플래시 패치가 나왔지만 아직도 패치를 하지 않은 사용자가 많다”며 “해당 취약점이 사용되기 시작한 이후 국내 랜섬웨어 감염자가 크게 증가하고 있어 아직 패치를 하지 않은 사용자는 반드시 패치를 해야 한다”고 말했다.

한편, 이 랜섬웨어는 하우리 바이로봇에서 ‘Trojan.Win32.R.Agent’ 등의 진단명으로 탐지·치료할 수 있으며, ‘바이로봇 에이피티 쉴드’를 통해서도 사전 차단이 가능하다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널