研究人员公开了蓝牙设备漏洞 BrakTooth 的利用代码。BrakTooth 影响数以十亿计设备使用的 1400 多种芯片组的商业蓝牙栈，包括依赖 Bluetooth Classic (BT)通信的智能手机、PC、物联网设备和工业设备。漏洞利用的 PoC 代码发布在 GitHub 上。美国 CISA（网络安全和基础设施安全局）督促制造商、供应商和开发商给蓝牙设备部署补丁或采用缓解漏洞利用的方法。

全球警方联合打击了史上最赚钱的网络犯罪团伙之一。 罗马尼亚警方、美国司法部和欧洲刑警组织周一宣布对 REvil 团伙采取联合行动。突袭同时在线上和线下展开，在罗马尼亚逮捕了两名涉嫌黑客，其中一人来自乌克兰。REvil 被指对全球企业发动了多次大规模黑客攻击。

美国还宣布，通过名为 claw back 的黑客行动，成功从该团伙手中夺回了超过 600 万美元的加密货币。过去三年，REvil——aka GandCrab 或 Sodinikobi——一直在攻击世界各地的企业和机构。欧洲刑警组织专门设立了名为“GoldDust”的行动对付该组织。自 2 月以来，这项行动已使该黑客团伙的 7 名成员在罗马尼亚、乌克兰、韩国和科威特落网。官方表示，11 月 4 日逮捕的两名罗马尼亚人感染了 5,000 名受害者，并从中赚取了 50 万欧元的赎金。REvil 的一名领导成员前不久宣布来自当局的压力迫使他们停止运营。

股票交易应用 Robinhood 称有黑客对其客服发动了社会工程攻击，获得了部分客户支持系统的访问权，窃取了 500 多万客户的电邮地址、200 万客户的全名，以及大约 310 名客户比较详细的个人信息如姓名、出生日期和邮编，此外还有 10 名用户的账号细节泄露。黑客之后还尝试进行勒索。Robinhood 表示此次攻击已被控制，它正在通知受影响客户，表现相信社会安全号码、银行账户号码或借记卡号码没有泄露，客户也没有因此遭受财务损失。

路透社报道，周日早晨一架载有炸药的无人机袭击了伊拉克总理 Mustafa al-Kadhimi 在巴格达的住所。伊拉克军方称这是一起未遂的暗杀，表示 Kadhimi 没有受伤。”安全消息人士称，袭击造成几名 Kadhimi 的贴身保安人员受伤，此前伊拉克首都因上个月的大选结果引发的抗议演变成了暴力事件。得到伊朗支持的武装民兵领导了对 10 月投票结果的抗议和投诉，他们在选举中失去了大部分议会权力。没有任何团体立即声称对 Kadhimi 在巴格达设有防御工事的“绿区”的住所的袭击负责，“绿区”是政府大楼和外国使馆所在地。

GitLab 的自托管服务器漏洞被利用发动 DDoS 攻击，攻击流量一度超过 1 Tbps。Google 安全工程师发现了这次 DDoS 攻击，攻击者利用了编号为  CVE-2021-22205 的漏洞去控制服务器，GitLab 已在今年 4 月将其修复，但不是所有自托管服务器打上了补丁。漏洞位于 ExifTool 库内，该软件库被用于移除上传到 Web 服务器中的图像元数据。GitLab 在社区版 GitLab Community Edition (CE) 和企业版 Enterprise Edition (EE)中使用了 ExifTool。有大约 6 万 GitLab 自托管服务器联网，其中一半也就是大约 3 万没有打补丁。利用漏洞的 POC 在今年 6 月公布，而攻击也是始于 6 月。

美国商务部工业安全局将四家公司列入出口控制的实体名单：以色列公司 NSO Group 和 Candiru，俄罗斯公司 Positive Technologies 和新加坡公司 Computer Security Initiative Consultancy PTE. LTD.。NSO Group 和 Candiru 被列入实体名单都是因为向政府出售间谍软件，而相关政府利用间谍软件攻击官员、记者和活动人士，间谍软件还被用于跨境镇压。

HardenedVault 写道 "DSA 型签名算法（包括 ECDSA）的原始实现中需要一个和私钥属于同种数学对象（GF(p) 的元素，p 为素数）的随机数，该随机数必须同时满足以下三个性质：1）随机性：无法仅通过被签名数据（以下称“载荷”）和生成的签名推算出来。2）机密性：不可泄露到签名过程之外。3）唯一性：该随机数对不同的载荷必须不同。否则，攻击者将有可能通过载荷与签名推算出私钥。如果该随机数来自一个有缺陷的随机数发生器，则随机性和唯一性会变得难以保证——攻击者可能通过收集足够多的载荷——签名对找到随机数发生器的规律，进而推算出私钥，虽然行业用户认为这是“可忍受”的缺陷直到LadderLeak漏洞的公开披露彻底让真相浮出水面，在最坏的情况下，攻击者只需要付出30万美金就可以破解P-224的密钥。由于开源的安全ECDSA实现进展并不顺利，Vault Labs给出了测试缺陷的方法和临时安全解决方案： 确保所有你使用的证书是>= P-256或者RSA（有其他风险需要考量）以及安全人员不要漏掉对没有接入互联网的服务的审计。"

巴基斯坦国家银行（NBP）遭遇了一次破坏性的网络攻击。事件发生在周五到周六之间的晚上，影响了银行的后台系统，用于连接分行的服务器，控制 ATM 网络的后台基础设施，以及银行的移动应用。知情人士称，虽然攻击导致部分系统瘫痪，但据信没有发生金钱方面的损失。NBP 在一份声明中表示在攻击发生之后它立即采取措施隔离受影响系统。到周一一千多家分行正常营业为客户提供服务，ATM 机器已完全恢复。这一消息促使部分受到惊吓的客户周一早晨冲到 ATM 机器前取款。知情人士表示不是勒索软件攻击而是一次有企图的破坏性网络攻击。恶意程序设计破坏计算机的引导系统。

剑桥大学的研究人员发表论文，介绍了在源代码中隐藏人眼看不见的漏洞的攻击方法。POC 攻击代码已发布在 GitHub 上。这种被称为 Trojan-Source 的攻击方法利用的是字符编码标准 Unicode 中的微妙之处，利用方向覆盖、同形异义等创造出对编译器和人类代码审查员视觉上存在差异的源代码，人眼看不出漏洞，但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 都有效，研究人员已经将漏洞报告给了相关项目。

Hive 勒索软件新变种能加密 Linux 和 FreeBSD 系统，但新变种还在开发之中，功能缺乏。安全公司 ESET 的研究人员发现，Hive 的 Linux 变种存在严重 bug，恶意程序在执行时加密会完全失败。Linux 变种只支持一个命令行参数，而它的 Windows 版本支持 5 个执行选项，包括杀死进程，略过磁盘清理，绕过不感兴趣的文件等。Linux 变种如果不是以 root 权限执行的话会无法激活加密。Hive 勒索软件组织是从今年 6 月开始活跃，是众多开始将 Linux 服务器作为攻击目标的勒索软件组织之一。

据伊朗国家电视台报道，一场针对伊朗电子卡支付系统的网络攻击，扰乱了伊朗全国各地的燃油销售，迫使全国各地的司机在加油站排起长队。“发生的袭击……被视为一场大范围破坏，具有网络攻击的特征。”网络空间最高委员会秘书 Abolhassan Firoozabadi 周二晚间对国家电视台表示。Firoozabadi 表示攻击针对的是加油站的网络管理系统，与燃料的分配和生产无关，可能是某个国家发动的。伊朗没有给出涉嫌发动攻击的国家身份，也没有任何组织宣布对此次攻击负责。有大约 4000 个加油站受到攻击影响，大约 1700 个加油站在数小时内恢复运营。

安全公司 Bitdefender 的研究人员发现，一种流量重定向 Rootkit 恶意程序以某种方式通过了驱动程序认证程序， 获得了微软签发的数字签名证书。有效的证书让 Rootkit 能绕过操作系统的限制。窃取企业的数字证书在网络犯罪领域并不罕见，但直接从微软获取合法证书则令人困惑。安全研究人员猜测可能是犯罪分子尝试着递交驱动进行验证，然后不知为何通过了审核获得了证书。名为 FiveSys 的 rootkit 被认为主要通过捆绑破解软件传播，它会安装一个定制 root 证书将流量重定向通过一个代理服务器，它主要被用于攻击网游玩家，旨在窃取登陆凭证和劫持游戏内购买。网络游戏内的虚拟物品交易会涉及到大量资金。

据现任和前任美国官员透露，在夏天的一次勒索软件攻击中，数百家企业和机构的计算机被锁定。尽管 FBI 已秘密获得了能帮助解锁这些计算机的密钥，他们还是拖延了近三周，没有及时伸出援手。

密钥是通过访问发动袭击的俄罗斯犯罪团伙的服务器获得的。立即使用密钥能帮助受害者——包括学校和医院——避免分析师估计的大约数百万美元的恢复成本。但是在其他机构的同意下，FBI 没有这样做，部分原因是它计划开展一项行动打击这个被称为 REvil 的黑客组织，它不想打草惊蛇。而政府评估认为危害并不像最初担心的那么严重。

现任和前任官员表示，计划中的打击并未发生，因为美国政府还未出手，REvil 平台就在 7 月中旬下线，黑客在 FBI 有机会执行其计划之前就消失了……FBI 最终在 7 月 21 日同软件被感染勒索软件的 IT 公司 Kaseya 分享了该密钥——在攻击发生 19 天之后。Kaseya 要求新西兰安全公司 Emsisoft 创建一个新的解密工具，并在第二天公布了该工具。但对于部分受害者已为时过晚……

FBI 局长 Christopher A. Wray 上周二在国会作证时表示，延误的部分原因是因为与盟友及其他机构的合作。他表示：“我们是作为一个整体做出决定的，而不是单方面做出决定。”他还指出他必须限制自己的言论，因为调查还在进行之中……他还表示“测试和验证”解密密钥导致了延迟。他在参议院国土安全委员会听证会上表示，“开发一种可供受害者使用的工具需要很多工程工作。”

然而，Emsisoft 能迅速采取行动。Emsisoft 首席技术官 Fabian Wosar 表示，他们从 FBI 提供给 Kaseya 的内容中提取出密钥，创建了新的解密程序并对其进行了测试，这一切只花了 10 分钟。因为该公司熟悉 REvil 的勒索软件。Wosar 表示：“如果我们需要从头开始的话，大概需要花四个小时。”

报道沙特新闻并撰写了一本有关沙特王储 Mohammed bin Salman 书籍的《纽约时报》记者 Ben Hubbard 被以色列公司 NSO Group 的间谍软件 Pegasus 入侵。加拿大多伦多大学公民实验室周日披露，Hubbard 在 2018 年 6 月到 2021 年 6 月之间多次成为间谍软件的攻击目标，2020 年 7 月到 2021 年 6 月他的手机感染了 Pegasus，公民实验室对哪位 NSO Group 客户发动攻击没有下定论，但认为同一攻击者还在 2021 年入侵了另一名沙特活动人士的手机。Hubbard 的手机号码在 2019 年出现在 Pegasus 项目清单上。

电邮服务 Fastmail、Runbox 和 Poste 正遭到大规模 DDoS 攻击，攻击者要求支付比特币以停止攻击。Runbox 称，攻击流量超过了 50 Gbps，间歇性的屏蔽了客户对其服务的访问。向勒索者支付金钱并不能保证未来不会发生类似的攻击，只能让此类攻击变得更具有吸引力，增加未来发动 DDoS 攻击得可能性。相同得勒索者还攻击了 Fastmail 和 Poste。

俄罗斯勒索软件组织 REvil 本周再次下线，该组织运营者 0_neday 自称服务器遭到入侵。据路透报道，执法机构和情报人员采取行动阻止 REvil 继续伤害其它公司。美国特勤局网络犯罪调查顾问、VMWare 网络安全战略负责人 Tom Kellermann 称，FBI、特勤局以及其它志同道合的国家合作对勒索软件组织发动了破坏性行动，而 REvil 是主要目标。REvil 在今年 7 月曾下线了数个月，据报道当时美国的执法和情报机构入侵了 REvil 基础设施，至少获得了对部分服务器的访问权。上个月，0_neday 等人重新恢复服务时无意中重启了已被执法机构控制的内部系统。

2019 年以来，黑客一直在劫持知名的 YouTube 频道。有时他们会广播一些加密货币骗局，有时只是拍卖这些账户的访问权。现在 Google 详细揭露了这些受雇黑客过去几年用于入侵数千名 YouTube 内容作者的技术。

加密货币骗局和账户接管并不罕见；去年秋天的 Twitter 黑客事件就是一个例子。但针对 YouTube 帐户持续不断的攻击却因其广度和黑客使用的方法而引人注目。他们采用的是一种古老的策略，尽管如此，防御却非常棘手。

攻击都始于网络钓鱼。攻击者会向 YouTube 作者发送一封看似来自真实服务的电子邮件——例如 VPN、照片编辑应用程序或防病毒产品，并提出合作建议。他们提议进行标准的促销：向你的观众展示我们的产品，我们将向你支付费用。对于 YouTube 网红来说，这是每天都在发生的交易，网红借此获得收益。

然而点击链接下载产品会将他们带到恶意软件登录站点——而不是真正的交易站点。某些情况下，黑客会冒充 Cisco VPN 和 Steam 等知名网站，或者冒充专注新冠的媒体。Google 表示，它迄今发现了 1000 多个域名，这些钓鱼域名都是为感染不知情的 YouTube 用户建立的。这暗示出了此类攻击的规模。该公司还发现了 15,000 个与这些计划背后的攻击者有关的电邮账户。这些攻击者似乎并不是一伙的；Google 表示，在俄语论坛上有各种黑客都在宣传账户接管服务。

一旦 YouTube 用户下载了恶意软件，它就会从他们的浏览器中获取特定的 cookie。这些“会话 cookie”确认用户已成功登录到他们的账户。黑客可以将这些偷来的 cookie 上传到恶意服务器，让他们冒充已通过身份验证的受害者。会话 cookie 对攻击者来说特别有价值，因为它们不需要再经过登录流程的任何部分。

计算机制造商宏碁证实其在印度的服务器遭到入侵，它在台湾的部分系统也被黑客侵入。自称 Desorden 的黑客组织称从宏碁印度窃取了超过 60 GB 的数据，包括数百万客户的信息、零售商和分销商使用的登陆凭证、以及企业文件和财务报表。黑客还声称从宏碁台湾服务器上窃取到了该公司雇员的信息。宏碁虽然承认遭到入侵，但否认客户数据失窃。Desorden 通常会威胁在黑市出售窃取的数据来进行勒索。

一名黑客窃入侵了阿根廷政府 IT 系统，窃取了全国人口的 ID 数据库，而相关信息正在私下兜售。攻击发生在上个月，目标是国家人口登记处 RENAPER 的数据库。RENAPER 向居民发放国家身份证，它储存了可供政府机构查询 ID 信息的数据库。攻击者本月初首先通过 Twitter 账号 @AnibalLeaks 披露了 44 位阿根廷名人的 ID 卡照片和个人细节，其中包括总统 Alberto Fernández、多名记者和政客，足球明星梅西（Lionel Messi）和阿奎罗（Sergio Aguero）。阿根廷政府之后承认遭到入侵，但否认数据库被窃取。然而有证据显示黑客正在出售 RENAPER 完整数据库的访问权。数据库包含了居民的全名、家庭住址、出生日期、性别、身份证签发和到期日期、劳工身份代码、Trámite 号码、公民号码和政府照片 ID。

对 300 名美国 IT 决策者的调查发现，64% 的回应者是勒索软件攻击的受害者，而其中 83% 受害者支付了赎金。调查还发现，因勒索软件威胁 72% 增加了网络安全预算，93% 专门拨款应对勒索软件威胁。半数回应者称，勒索软件攻击导致他们收入减少和名誉受损，42% 的人称因攻击而丢失了客户，超过 30% 的人称被迫裁员。勒索软件攻击主要是通过邮件、其次是应用程序，第三是云端服务。