勒索软件组织通常在俄罗斯等东欧国家境内运营，随着勒索软件对西方国家基础设施的挑战日益严峻，七国集团成员国发表联合声明，呼吁俄罗斯等国打击其境内的勒索软件组织。七国集团包括加拿大、法国、德国、意大利、日本、英国和美国。在这之前，Colonial Pipeline 因勒索软件攻击一度关闭了美国东海岸的燃油管道，而肉制品供应商 JBS Foods 在勒索软件攻击之后美国和澳大利亚的牛肉供应出现了问题。

一组黑客组合利用 Slack 和社会工程技术从 EA 公司窃取到了 FIFA 21 和 Frostbite 引擎的源代码。黑客声称共窃取到了 780GB 数据，他们正在多个地下黑客论坛兜售源代码。黑客透露，他们首先花了 10 美元购买了能用于访问 EA Slack 频道的 cookies，在使用窃取的 cookies 访问 EA Slack 频道后，他们向 IT 支持发信息称因为昨晚的派对手机丢失了，黑客请求 IT 支持发送新的多因素认证令牌。黑客称这一社会工程方法让他们两次得手。一旦利用认证令牌进入 EA 的企业内网，他们发现了 EA 开发者用于编译游戏的服务器。

今年早些时候，波兰游戏开发商 CD Projekt Red 遭到了勒索软件的攻击，黑客在勒索通知中宣称他们窃取了《赛博朋克 2077》、《巫师3》、《巫师之昆特牌》以及未发布版本的《巫师3》的源代码，以及一些企业内部文件。有消息称 CD Projekt 支付了赎金。但过去几天，黑客窃取的 762 GB 的游戏源代码出现（不推荐下载）了 BT 网站上，玩家还在源代码中发现了一些与审查相关的代码。CD Projekt 现在发表声明证实它的源代码在网络中开始流传，问题比此前预计的更严重，它的雇员/前雇员信息也遭到泄露。

NordLocker 公司的安全研究人员发现了一个包含敏感数据容量高达 1.2TB 的数据库，这些数据被认为是未知恶意程序从被感染的设备上窃取的。数据库包含了 2600 万登陆凭证，超过 20 亿浏览器 cookies，660 万文件，部分文本文件储存了密码。此外还有 100 多万图像，65 万 Word 和 PDF 文件，以及屏幕截图和设备摄像头拍摄的图像。恶意程序还收集了消息、邮件、游戏和文件共享应用相关的数据。这些数据来自了 300 万台被感染的 PC，时间是从 2018 年到 2020 年。安全分析师认为恶意程序的目的很可能是为了窃取加密货币。窃取的密码已经上传到了 Have I Been Pwned。

微软周二释出的例行安全更新修复了 49 个安全漏洞，其中 6 个正被利用。6 个 0day 漏洞：CVE-2021-33742 是 Windows HTML 组件的远程代码执行漏洞；CVE-2021-31955 是 Windows Kernel 的信息暴露漏洞；CVE-2021-31956 是 Windows NTFS 提权漏洞；CVE-2021-33739 是 Microsoft Desktop Window Manager 的提权漏洞；CVE-2021-31201 和 CVE-2021-31199 是 Microsoft Enhanced Cryptographic Provider 的两个提权漏洞。提权漏洞对攻击者具有高价值，一旦攻击者获得初始立足点之后他们通过提权获得系统或域级别的访问权限。

调查网络攻击的安全公司 Mandiant 的高级副总裁 Charles Carmakal 称，黑客是在 4 月 29 日通过一个 VPN 账号进入美国最大燃油管道公司 Colonial Pipeline 的内网。VPN 允许雇员远程访问公司内网。该账号当时已经不再使用了，但仍然能用于访问内网。账号使用的密码曾被泄露到暗网，这意味着一位 Colonial Pipeline 雇员可能有另一个使用相同密码的泄露账号。至于黑客是如何获得密码 Carmakal 表示无法确定。该 VPN 账号没有使用多因素身份验证，因此黑客只要使用账号名和密码就能进入内网。调查人员不知道黑客是如何获得正确的用户名的。Carmakal 称他们没有发现公司雇员曾遭到钓鱼攻击。5 月 7 日凌晨 5 点，Colonial 控制室的一名雇员看到了勒索通知，他通知了上司，上司随后开始了关闭管道的程序。上午 6:10，全部燃油管道被关闭。

WordPress 强制对五百多万使用 Jetpack 插件的网站执行安全更新。Jetpack 是一个非常受欢迎的 WordPres 插件，提供了免费的安全、性能和管理功能，包括暴力破解保护、网站备份、安全登陆、恶意程序扫描等。它的活跃安装量超过了五百万，由 WordPress 母公司 Automattic 开发和维护。新发现的安全漏洞影响自 2012 年发布 Jetpack 2.0 起的所有版本。开发团队未发现漏洞正被利用，但随着安全更新的释出，漏洞被利用只是时间问题。

富士胶片发表声明称其服务器遭到未经授权访问，它因此关闭了部分网络断开了与外部的通信。富士称它是在 6 月 1 日晚上了解到可能遭到勒索软件的攻击。它没有披露是遭到哪个勒索软件的攻击。安全研究人员称富士上个月曾感染了木马 Qbot，而 Qbot 恶意程序团队目前正与勒索软件组织 REvil 密切合作。最近对世界最大肉品供应商 JBS 的勒索软件攻击被认为就来自于 REvil。

如果网站支持 HTTPS，Microsoft Edge 通过 HTTP 访问该网站时将自动切换到 HTTPS。该功能已包含在测试版本中，正在推送给部分挑选的 Microsoft Edge 92 用户。自动切换到 HTTPS 连接将能阻止中间人攻击，防止流量纂改。如果 Microsoft Edge 用户现在就想启用该功能，可以打开 edge://settings/privacy，启用 Automatically switch to more secure connections with Automatic HTTPS。

世界最大的肉加工企业 JBS 遭到勒索软件攻击，公司临时关闭了位于澳大利亚、加拿大和美国的部分运营，有数千工人受到影响。勒索软件组织被认为来自俄罗斯。美国白宫表示 FBI 正对此展开调查。俄罗斯副外长 Sergei Ryabkov 告诉当地媒体拜登当局已联络莫斯科讨论网络攻击。JBS 于 1953 年在巴西创办，在 15 个国家拥有超过 150 家工厂，雇佣了超过 15 万员工。该公司表示其备份系统没有受到影响。

微软表示，去年年底发现的 SolarWinds 供应链攻击背后的黑客组织现在正瞄准政府机构、智库、顾问公司和非政府组织。微软称，源自俄罗斯的 Nobelium 与2020年攻击 SolarWinds 客户的幕后黑手是同一个行动者。“这一波攻击的目标是 150 多个不同组织的大约 3,000 个电子邮件账户。”至少有四分之一的目标组织参与了国际发展、人道主义问题和人权工作。微软说， Nobelium 通过侵入美国国际发展署(USAID)使用的电邮营销账户发起了本周的攻击，并从那里对许多其他组织发起了网络钓鱼攻击。

VMware 用于数据中心管理虚拟化的软件 vCenter Server 曝出了一个高危漏洞。漏洞编号 CVE-2021-21985，危险等级 9.8/10。VMware 称，因默认启用的插件 Virtual SAN Health Check 缺乏输入验证，vSphere Client (HTML5)包含了一个远程代码执行漏洞，能访问端口 443 的攻击者可能利用漏洞执行指令。全世界有 4.3 万家机构使用 vSphere，其中 5594 个服务器可公网访问，美国最多，其次是德国和中国。

安全研究人员发现了一个以以色列为攻击目标、伪装成勒索软件的磁盘数据删除恶意程序。被称为 Apostle 的恶意程序早期版本存在 bug，在尝试删除数据时会失败。后期的版本修复了 bug，还引入了勒索软件行为，会留下勒索通知索要赎金解密加密数据。研究人员根据代码以及它使用的服务器认为开发该恶意程序的黑客组织与伊朗政府有关联。它的主要攻击目标是以色列。研究人员将该黑客组织命名为 Agrius，认为勒索软件功能是为了伪装毁灭数据的真实目的。

化名 darksupp 的黑客去年 11 月在俄语黑客论坛 XSS.is 发帖为勒索软件即服务 DarkSide 招募加盟成员。根据 DarkSide 的加盟分成比例：如果赎金低于 50 万美元加盟者可以分到 75% 的赎金，如果赎金高于 500 万美元，分成比例将提高到 90%。根据加密货币跟踪公司 Chainalysis 的统计，在过去 7 个月内，DarkSide 至少赚到了 6000 万美元，其中 4600 万美元来自于今年前 3 个月。在从美国最大燃油管道公司 Colonial Pipeline 勒索到 500 万美元和从化学品公司优信邦泰勒索到 440 万美元之后，引发广泛关注的 DarkSide 上周突然宣布终止运营，声称失去了对其网络基础设施和部分比特币钱包的控制。之后 DarkSide 成员就销声匿迹了。而在 XSS.is 论坛上，部分 DarkSide 加盟成员投诉 DarkSide 管理者没付钱就跑路了。

Google 警告未知黑客正在利用最近披露的 4 个 Android 漏洞执行恶意代码完整控制设备。这四个漏洞是在 5 月 3 日披露的，Google 已经向 Android 厂商释出了安全更新，由后者负责将补丁推送给用户。Google Project Zero 的安全研究员 Maddie Stone 将这四个正利用的漏洞称为 0day。成功利用漏洞允许完整控制受害者的手机。今年至今 Android 系统发现了 4 个 0day，相比下去年只发现 1 个。

最大的自由开源软件 IRC 网络 Freenode 疑似发生了剧变，多位志愿者辞职并呼吁用户尽快迁移到新的 IRC 网络 libera.chat，称运行在 freenode.org/net/com 中的 IRC 网络应该被假设控制在一位恶意方手中。Freenode 的域名控制在一家叫 Freenode Limited 的手中，但这家公司并不参与 Freenode 网络的运营，Freenode 网络完全由一群志愿者（被称为 Freenode Staff）管理，所有服务器都由第三方赞助。几年前 Freenode Staff 的前负责人将公司出售给了 Andrew Lee，现在志愿者指责他敌意接管了域名，并试图用自己的人去替代社区志愿者。Andrew Lee 在 Freenode 官网发表声明，否认了这一指控。

爱尔兰公立医疗保健系统 Health Service Executive (HSE)遭到了 Conti 勒索软件的攻击，攻击者索要 2000 万美元的赎金，HSE 表示拒绝支付，它关闭了整个 IT 系统，正在评估情况。根据 Conti 黑帮与 HSE 之间的聊天记录，Conti 称它访问 HSE 的网络长达两周，窃取了 700 GB 的数据，包括病人和雇员信息，合同、财报和工资信息等。如果 HSE 同意支付 19,999,000 美元的赎金，它将提供解密和删除窃取的数据。爱尔兰总理 Micheál Martin 表示该国不会支付任何赎金。Conti 被认为有俄罗斯黑客组织 Wizard Spider 运营。

瑞典的一位计算机科学家在 Marvin Minsky 设计的通用图灵机（Universal Turing Machine）中发现了一个 0day 漏洞，允许任意代码执行。这一发现应该没什么“实际意义”。瑞典皇家理工学院的 Pontus Johnson 教授在预印本网站 ArXiv 发表了他的研究报告，解释了漏洞。通用图灵机被认为是计算机的最简单最抽象模型。Minsky 的 1967 年通用图灵机实现被发现缺乏输入验证，能被利用执行任意代码。该漏洞被分配了编号 CVE-2021-32471，目前没有补丁也没有方法阻止漏洞利用。

DarkSide 勒索软件黑帮在服务器和支付给下线的比特币账号被扣押之后宣布终止运营。DarkSide 组织者在一则声明中称，几个小时前它失去了对其基础设施公开部分的访问，几个小时后支付服务器上的资金被转移到一个未知地址。DarkSide 宣布它将公开解密工具允许所有遭到勒索但还没有支付赎金的公司解密数据。DarkSide 的信息还包括了另一个勒索软件组织 REvil 成员的声明，安全专家此前相信 DarkSide 的核心成员与 REvil 黑帮有着密切联系。REvil 成员声明它将限制其成员勒索任何国家的医疗和教育机构以及政府组织，其联盟成员在感染受害者前需要获得批准。

加州公路巡警逮捕了一名坐在后排而前排驾驶位无人的特斯拉车主。25 岁的 Param Sharma 被控鲁莽驾驶和不服从警官。他被发现至少两次坐在汽车后排而前排无人驾驶。本周一警方在接到多个 911 举报电话之后将其逮捕，他被关押了一夜，释放之后又再次犯下了同样的罪行。Sharma 声称他觉得坐在后排感觉更安全。他对特斯拉汽车的自动驾驶能力十分有信心，称 Elon Musk 很清楚知道在做什么。他在社交媒体上发布了自己坐在后排前排无人的视频，称自己很有钱，已经又买了一辆特斯拉（前一辆被警方扣押了），是百万富翁。