利用 GETTR 存在 bug 的 API，黑客抓取了超过 9 万用户的名字、电邮地址和 IP 等数据。GETTR 是前特朗普发言人 Jason Miller 上周推出的社交平台。有电邮地址泄露的用户承认注册了 GETTR。用泄露邮件地址尝试注册 GETTR 返回了“电邮地址已经使用”的错误信息。黑客在一个论坛上公开了这一数据库，暂时还不清楚数据库是否包含了所有 GETTR 用户。

在上周五发生的供应链攻击中，有多达 1500 家企业感染 REvil 勒索软件。REvil 组织利用了 Kaseya VSA 远程管理服务中的一个 0day 漏洞，而 VSA 服务有多达 3.5 万企业客户。Kaseya 表示有 800 到 1,500 家企业感染了勒索软件。REvil 在其暗网网站中称攻击中有超过一百万个目标感染，它要求 7000 万美元赎金提供通用解密密钥。REvil 此前最为成功的攻击是从肉类供应商 JBS 勒索到了 1100 万美元赎金。

勒索组织 REvil 利用软件供应链发动勒索软件攻击的规模远比之前报道的更大：至少 17 个国家的数千家公司受到影响。REvil 针对了软件供应商 Kaseya，该公司的软件用于管理企业网络和设备，然后通过 Kaseya 将勒索软件传播到使用其软件的数以千计的公司。安全研究人员在 Kaseya 的更新系统中发现了漏洞，与 Kaseya 合作开发和测试了补丁，但补丁还没有释出前 REvil 就已经发动了攻击。REvil 在其暗网网站发表声明，勒索 7000 万美元。Kaseya 高管表示已经知道勒索要求，但拒绝公布进一步的信息。

勒索组织 REvil 利用软件供应链攻击同时勒索了大约 200 家美国公司。攻击者针对了软件供应商 Kaseya，然后通过 Kaseya 将勒索软件传播到使用其软件的公司。Kaseya 发表声明称，它的一个运行在企业服务器、桌面计算机和网络设备上的软件可能被入侵，它督促客户使用它的 VSA 工具立即关闭服务器。受到影响的企业可能超过 200 家。Kaseya 称它有超过 1 万家客户。

西部数据 MyBook Live 储存设备最近因为漏洞被攻击者利用清空了设备中储存的数据。现在，安全研究人员披露西部数据运行旧版本 MyCloud 操作系统的储存设备存在 0day 漏洞，漏洞允许攻击者用后门版本远程更新设备固件。漏洞影响运行 MyCloud OS 3 的储存设备，西部数据最近对该版本终止了支持，不再释出安全更新。安全研究人员原计划在去年的 Pwn2Own 挑战赛上披露漏洞，但西部数据当时释出了新版本 MyCloud OS 5 修复了漏洞，它督促用户升级到新版本。研究人员为 MyCloud OS 3 发布了自己开发的补丁，表示只要设备不能通过互联网远程访问就能消除威胁。

2021 年 5 月，黑客入侵了一家在拉美有子公司的西班牙企业 Everis，访问了多个数据集，包括北约的云计算平台，以及相关源代码和文档。除了获得数据拷贝，黑客还声称删除了公司的拷贝，并有机会修改了项目或植入了后门。黑客还试图勒索 Everis，开玩笑的说向俄罗斯情报机构发送数据。被称为北约 Service-Oriented Architecture and Identity Access Management (SOA & IdM) 的平台是北约 IT 现代化的 4 个核心项目之一。黑客自称有政治动机，他们最初只对 Everis 的拉美子公司数据感兴趣。

安全公司 Avast 的研究人员发现，部分论坛免费提供的游戏破解版本实际上植入了挖矿软件 Crackonosh。一旦安装 Crackonosh，它会禁用 Windows 更新，卸载所有安全软件，然后在后台挖掘门罗币。对黑客数字钱包地址的跟踪显示，挖掘到的门罗币价值超过了 200 万美元，受害者主要位于菲律宾、巴西、印度、波兰、美国和英国。在这之前研究人员还在游戏作弊软件中发现了恶意程序。Akamai 称自 2019 年以来它检测到的针对游戏的攻击增加了 340%。

英特尔即将释出新微码更新，将默认禁用从 Skylake 到 Coffee Lake 系列处理器的Transactional Synchronization Extensions (TSX)功能。此举将严重影响部分英特尔处理器在特定工作负荷下的性能：TSX 能将特定应用执行性能提高 40%，数据库每秒处理事务数提高 4 到 5 倍。新微码更新将合并到 Linux 5.14 中。TSX 是 x86 指令集的一个扩展，计算机科学家此前发现它容易受到边信道时序攻击。

上周西部数据建议 My Book Live 存储设备客户立即断开设备的网络连接，起因是用户报告设备中储存的数据全部被清空。受影响的型号为 My Book Live 和 Live Duo，西部数据在 2015 年停止销售该型号产品，最后一次固件更新是在 2015 年释出的。现在西部数据判断是远程安装的木马抹掉了 My Book 设备中的数据。攻击者利用一个远程命令执行漏洞直接访问或通过端口转发访问了相关联网设备，安装了文件名为 .nttpd,1-ppc-be-t1-z 的木马，它是一个 Linux ELF 二进制文件，编译运行在 My Book Live 和 Live Duo 使用的 PowerPC 架构上。西部数据的调查没有发现它的云服务、固件更新服务器等遭到入侵的证据。

微软的代码签名流程能被攻击者的利用。G Data 的安全研究人员本月早些时候收到了一个可能的误报：由微软签名的 NetFilter 驱动程序。从 Windows Vista 开始，在内核模式中运行的任何代码在公开发布前都需要经过微软的测试和签名，以确保操作系统的稳定性。没有微软签名的驱动程序默认是无法安装的。但安全研究人员在仔细分析后发现，Netfilter 是一个 rootkit 恶意程序，能自我更新和向攻击者的 IP 发送信息。WHOIS 查询显示，该 IP 地址属于宁波卓智创新网络科技有限公司。微软表示正在调查这起事件，它称攻击者通过 Windows Hardware Compatibility Program 项目递交驱动签名，它已经吊销了递交者的账号，评估其递交寻找恶意程序的其它信号。该恶意程序针对的是中国地区的游戏玩家。

安全研究人员在戴尔预装在其 Windows PC 上的 SupportAssist 软件的 BIOSConnect 功能中发现了 4 个安全漏洞，允许攻击者在受影响设备的 BIOS 中远程执行代码，控制设备的引导过程。这些漏洞影响戴尔 129 个型号的三千万台 PC。四个漏洞之一是 BIOS 到戴尔的不安全 TLS 连接 (CVE-2021-21571) ，其余三个是溢出漏洞(CVE-2021-21572，CVE-2021-21573 和 CVE-2021-21574）。

BBC 国际频道制作了 10 集播客《The Lazarus Heist》（YouTube），试图还原 2016 年发生的孟加拉银行大劫案。这宗抢劫央行大案现在被认定是朝鲜黑客组织 Lazarus 所为。2016 年 2 月，黑客向 SWIFT（环球银行金融电信协会网络）发出 35 条欺诈指令，要求将 10 亿美元从美国纽约联邦储备局转入孟加拉央行账户，5 条被确认，成功转走 1.01 亿美元，但另 30 条涉及 8.5 亿美元的转款指令被纽约联储局拒绝，因为指令中发现拼写错误。流向菲律宾的 8100 万美元赃款尚未全数追回，但流向斯里兰卡的 2000 万美元已追回。黑客作案从 2 月 4 日周四孟加拉时间晚上 20:00 时开始，纽约时间是周四上午，正常工作时间。孟加拉银行周五、周六休息，等到发现黑客袭击时，已经是纽约的周末。选择周四晚上作案显然是有精心考虑的。

安全研究人员在 Python 软件包仓库 PyPI 发现了伪装成合法程序包含挖矿软件的恶意包。这些恶意软件包利用输错名字的方式安装到受害者计算机上，例如一个流行的软件包叫 matplotlib，攻击者上传了名字相似的软件包 mplatlib 或 maratlib。恶意代码包含在 setup.py 文件内，会在计算机上安装挖矿程序 ubqminer 或 T-Rex。这些恶意软件包共下载了约 5000 次，由同一位用户上传，最早上传是在 4 月份。其它流行的软件包库发现过类似的攻击。

黑客删除了 NewsBlur 网站的所有 Mongo 数据库，将下载的 250 GB 数据作为“人质”进行勒索。NewsBlur 提供 RSS 在线阅读服务，创始人在 HN 上解释说，当时他正在切换 Mongo 服务器，他的 ufw 防火墙本来设置禁止外部 IP 访问内部服务器，但由于 Docker 的问题导致了 Mongo 服务器可以公开访问，一个黑客或者脚本小子在大约 3 小时后扫描到了公开的 Mongo 数据库，因此下载并删除了数据库。NewsBlur 表示会很快通过备份恢复服务。

安全公司 Cybereason 的研究发现，选择支付赎金的绝大部分组织会再次遭到勒索软件攻击，而且很多时候是同一个勒索软件组织。Cybereason 发现，支付赎金的组织有八成会再次遭到攻击，大约半数为相同的攻击者。研究还显示，在遭到勒索软件攻击之后采取的应对方法主要包括安全意识培训和安全操作。预防是确保组织不会成为受害者的最佳策略。

Prossimo 项目宣布与 Miguel Ojeda 签订合同使用 Rust 语言全职开发 Linux 内核，合同期为一年。这一项目得到了 Google 的资助。Rust 是一种高性能、内存安全的语言，而软件项目发现的大部分漏洞都属于内存安全相关漏洞，用 Rust 开发内核将有助于改进内核的内存安全。Linux 内核是现代互联网的心脏，位于网络数据和其它形式输入数据处理的第一线，它的漏洞将会产生广泛的影响。Linux 主要是用 C 语言开发的，C 不是一种内存安全的语言，缓冲溢出和释放后使用等内存安全漏洞是需要经常关注的问题，用 Rust 语言开发部分 Linux 组件如驱动将有助于消除内存安全漏。

安全研究员 Andrew Brandt 发现了一种不同寻常的恶意程序，设计专门打击软件盗版。被称为 Vigilante 的恶意程序通过盗版网站传播，受害者下载和执行后会将执行的文件名和 IP 地址发送给攻击者控制的服务器，然后修改主机的 Hosts 文件将一千多个盗版网站的域名指向本地地址 127.0.0.1，受害者如果不手动修改 Hosts 文件删除相关条目的话将会无法再访问盗版网站。被屏蔽的盗版网站包括了海盗湾 thepiratebay.com 等。

乌克兰警方与韩国警方合作逮捕了勒索软件黑帮 Clop 的六名嫌疑人，扣押了大量现金、包括特斯拉和梅塞德斯在内的汽车，以及大量苹果电脑。Clop 据报道去年以韩国 E-Land 集团为目标，在 12 个月内窃取到 200 万信用卡信息。在进入该公司内网之后 Clop 部署了远程访问木马 Flawedammyy。趋势科技称，在最臭名昭著的勒索软件黑帮 Conti、Doppelpaymer、Egregor、Clop 和 REvil 中，Clop 在网上公开了 5 TB 窃取的数据，超过其它勒索软件黑帮。它攻击的美国目标包括了斯坦福大学医学院、马里兰大学和加州大学。

勒索软件组织通常在俄罗斯等东欧国家境内运营，随着勒索软件对西方国家基础设施的挑战日益严峻，七国集团成员国发表联合声明，呼吁俄罗斯等国打击其境内的勒索软件组织。七国集团包括加拿大、法国、德国、意大利、日本、英国和美国。在这之前，Colonial Pipeline 因勒索软件攻击一度关闭了美国东海岸的燃油管道，而肉制品供应商 JBS Foods 在勒索软件攻击之后美国和澳大利亚的牛肉供应出现了问题。

一组黑客组合利用 Slack 和社会工程技术从 EA 公司窃取到了 FIFA 21 和 Frostbite 引擎的源代码。黑客声称共窃取到了 780GB 数据，他们正在多个地下黑客论坛兜售源代码。黑客透露，他们首先花了 10 美元购买了能用于访问 EA Slack 频道的 cookies，在使用窃取的 cookies 访问 EA Slack 频道后，他们向 IT 支持发信息称因为昨晚的派对手机丢失了，黑客请求 IT 支持发送新的多因素认证令牌。黑客称这一社会工程方法让他们两次得手。一旦利用认证令牌进入 EA 的企业内网，他们发现了 EA 开发者用于编译游戏的服务器。