5 月 29 日，佛罗里达 Riviera City 的计算机系统被勒索软件锁定，三周之后官员认为没有其它方法恢复文件，市议会以 5 比 0 投票同意向勒索者支付 60 万美元赎金。勒索软件是通过钓鱼邮件感染的，警方的工作人员打开了钓鱼邮件，向城市网络释放了勒索软件。勒索软件随后锁定了文件，切断了绝大部分城市服务，911 紧急服务除外，但也受到了影响。最初市政府没有计划向犯罪分子支付赎金，但在发现数据没有正确备份之后，他们没有选择余地了。

Firefox 刚刚修复的 0day 漏洞被用于攻击 Coinbase 雇员。Coinbase 安全团队的 Philip Martin 称，攻击者组合利用了两个 0day 漏洞，其一是远程代码执行漏洞，其二是沙盒逃脱漏洞。远程代码执行漏洞是 Google Project Zero 安全团队的研究员 Samuel Groß 发现的，他称自己在 4 月 15 日向 Mozilla 报告了这个漏洞。不清楚攻击者是从什么地方获知漏洞细节的，可能是独立发现，也可能是从内部人士获得了信息，或者可能是入侵了 Mozilla 雇员账户。针对 Coinbase 的攻击如果成功的话可能会被用于窃取该交易所的资金，Martin 称没有证据显示漏洞利用针对了 Coinbase 的客户。Mozilla 紧急释出了两次安全更新修复了这两个漏洞。

三星的 Twitter 支持账号 Samsung Support USA 发表短视频建议客户定期对智能电视进行杀毒扫描，以防止恶意软件攻击。三星后来删除了帖子，它在一份独立声明中称，该公司对安全十分重视，其产品和服务在设计时就将安全铭记于心。三星说它的帖子可能会令人产生困惑，它想澄清的是这只是向客户传达智能电视的一项功能。专家对此认为三星的建议没什么意义，是浪费时间，因为没多少恶意程序会去攻击电视。

Netflix 工程师在 Linux 和 FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和 TCP Selective Acknowledgement(SACK)有关，其中最严重的漏洞绰号为 SACK Panic，允许远程对 Linux 内核触发内核崩溃。SACK Panic 漏洞编号 CVE-2019-11477，影响 2.6.29 以上版本，漏洞补丁已经发布，一个权宜的修复方法是将 /proc/sys/net/ipv4/tcp_sack 设为 0。

WireGuard 作者 Jason Donenfeld 宣布发布首个 Windows 测试版本。他称这个版本是 pre-alpha，也就是软件还不完整，很多安全相关的功能还没有完成，性能也没有优化。但它已经有了足够的功能，释出这个版本主要是测试和听取反馈。WireGuard 是一种新兴的 VPN 实现，配置比 OpenVPN 等更简单。它已经支持 Linux，Android、BSD 和 macOS。

安全公司 Dragos 的研究人员报告，至少两次攻击工业基础设施的黑客组织正在积极侦查美国电网。该黑客组织被 Dragos 命名为 Xenotime，该组织使用恶意程序关闭生产流程或让 SIS 控制的机器工作在不安全的状态下。研究人员报告，Xenotime 正对美国和其它地区的电网公司进行网络扫描和侦查活动。目前还没有证据显示这些电力公司已经遭到了入侵。Xenotime 被认为与俄罗斯有关联，安全公司 FireEye 此前发表报告称攻击者部署的恶意程序包含的信息指向了俄罗斯政府研究机构化学和力学中央科学研究院(CNIIHM)。

欧盟正准备应对网络安全方面的失误。此前发生了多起泄露事件，包括欧盟驻莫斯科使团的大量外交电文泄密和疑似遭黑客攻击。这突显出人们越来越担心，欧盟机构未能跟上愈演愈烈的信息安全威胁，尤其是考虑到作为一个由 28 个主权国家组成的网络，欧盟存在的广泛安全漏洞。一名高级外交官表示，据称发生在莫斯科的侵入事件本月曝光，引发有关欧盟电子 “安全文化” 的 “严肃问题”。这位官员指出，“在一个欧盟及其成员国在网络空间不断受到攻击的世界里…… 我们需要变得更加内行，提高安全保障水平。”

Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735，Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。漏洞位于编辑器的 modelines 功能中，该功能允许用户指定窗口大小和其它定制选项，modelines 限制了沙盒内可用的指令，但安全研究员 Armin Razmjou 发现 source! 指令会绕过这一保护。因此如果用户打开一个恶意文本文件，攻击者可以控制计算机。漏洞利用需要编辑器启用 modelines，部分 Linux 发行版默认启用了该功能，而苹果的 macOS 没有默认启用。

流行消息应用 Telegram 周三报告它遭到了大规模 DDoS 攻击，导致部分地区用户出现连接问题。官方报告称访问问题持续了大约一个小时，而 Downdetector 上的用户报告访问问题持续了两个多个小时。官方 Twitter 账号解释了 DDoS 攻击，称攻击者利用僵尸网络发送大量的垃圾请求，阻止服务器处理合法请求，就好象麦当劳门口有一群旅鼠插队跑到你的队列前面每个人都订了大量的食物。Telegram 表示用户的数据没有受到影响。

Google Project Zero安全 团队研究员 Tavis Ormandy 披露了一个微软尚未修复的 Windows 10 0day 漏洞。Project Zero 的漏洞披露截至时间是 90 天，微软也承诺在 90 天里修复漏洞，但未能兑现，所以在第 91 天 Ormandy 公开了漏洞。漏洞存在于 Windows 10 和 Windows 8 的核心加密库 SymCrypt 中，Ormandy 发现利用特制的数字证书他能迫使 SymCrypt 在计算时进入死循环，这本质上能对运行 IPsec 协议的 Windows 服务器发动拒绝服务攻击。Ormandy 称，微软安全响应中心联络了他，解释说由于测试中发现的问题他们无法如期释出补丁， 这个月来不及需要等到下个月。Ormandy 的做法在安全社区引发了争议，认为 Google 在截止日期上应该更灵活些。

一个国际研究团队发表论文，描述了 Rowhammer 比特翻转攻击的新变种，称能用于窃取内存中的数据。Rowhammer 攻击利用了 DRAM 临近内存单元之间电子的互相影响，当重复访问特定内存位置数百万次后，攻击者可以让该位置的值从 0 变成 1，或从 1 变成 0。新的攻击被称为 RAMBleed，通过观察 Rowhammer 诱导的比特翻转，攻击者能推断出附近 DRAM 行中的值。在论文中，研究人员演示了对 OpenSSH 7.9 的攻击，他们利用 RAMBleed 攻击获取了 2048 比特的 RSA 密钥。研究人员称 RAMBleed 潜在能读取储存在内存中的任何数据，表示 ECC (Error Correcting Code)内存并不能防止 RAMBleed 攻击。

Have I Been Pwned?（HIBP）维护者 Troy Hunt 宣布他正在积极寻找买家。HIBP 是知名的数据泄露通知网站，储存了各个网站和服务已知的泄露数据。Hunt 称至今 HIBP 的每一行代码、每一个配置和数据泄露记录都是他一个人做的，不存在 HIBP 团队之说，他一个人做了所有的事情。现在是时候壮大 HIBP，从一个个人维护的服务转变到由一个资源和资金更充足的机构维护的服务。他表示已经与部分有意收购的组织进行了非正式对话。Hunt 公布了部分 HIBP 服务的数据：80 亿泄露记录，300 万人订阅通知，发送了 700 万次邮件通知，每天独立访客 15 万，特殊情况下一天的访客数量会增加到 1000 万。对于收购，他希望搜索功能仍然免费，希望能继续参与该项目。

去年 10 月，香港国泰航空披露包含 940 万乘客资料的信息系统被未经授权获取。未获授权获取的资料包括了个人身份信息和飞行记录，此外还有部分信用卡。香港个人数据隐私专员上周公布了调查报告，称国泰航空的网络先后遭遇了两次入侵。第一次入侵发生在 2014 年 10 月，攻击者在系统中植入了按键记录器去收集登录凭证，他们在 2018 年 3 月 22 日停止了活动，国泰不知道攻击者是如何进入系统的。第二批攻击者利用了服务器的一个有十年历史的漏洞绕过身份验证访问了服务器上的管理工具。国泰声称由于空客飞行手册应用的兼容性问题它无法更新系统。国泰实现了二步认证，但仅针对于 IT 支持人员。国泰航空首次检测到可疑活动是在 3 月 13 日，原因是一次暴力破解攻击导致了 500 名员工的账号被锁定。随后的内部调查发现了两次入侵，但它直到 10 月才披露入侵。

安全研究员通过搜索 Shodan，发现了一个没有任何身份验证的 ElasticSearch 数据库。该数据库属于上海交大，包含了 8.4TB 邮件元数据，但不包含邮件正文内容。数据库包含了 95 亿行数据，5 月 23 日数据库容量只有 7TB，24 日就增加到了 8.4 TB。交大安全团队在收到报告之后就在当天关闭了开放访问。元数据包括了发送方，接收方，IP 地址、检查邮件时的用户代理，以及设备类型等。

大约十年前，一位以色列企业家分别在矛和盾上下了注，他投资了两家公司，一家公司宣称能破解任何智能手机，另一家公司则宣称要开发出难以破解的智能手机。前者叫 NSO Group，它向执法机关和政府出售间谍软件 Pegasus，其估值达到了 10 亿美元。后者叫 Communitake Technologies，开发定制安全手机 IntactPhone。它们相当于星球大战里的西斯和绝地。这位企业家叫 Shalev Hulio，他仍然运营着 NSO，但 Communitake 已经选择和他分手。Communitake 并没有称自己是反 NSO，但至少有一个国家在测试了两家公司的技术之后为高级官员配备了 IntactPhone 手机。 IntactPhone 系统的价格从几千美元到数百万美元，最昂贵的配置包括了私有服务器，它生成短时间有效的密钥去加密通信。NSO 和 Communitake 都受到以色列国防部监管，为了消除后门的担忧，Communitake 称它允许买家检查手机源代码和物理架构。Communitake 表示没有手机是能 100% 防破解，你只能保证 95%。

Exim 开源邮件服务器爆出了一个高危漏洞，影响 4.87 到 4.91 版本，漏洞允许本地攻击者和某些情况下的远程攻击者以 root 权限在服务器上执行指令。要远程利用漏洞，攻击者需要与存在漏洞的邮件服务器保持连接 7 天，每数分钟就要传输一个比特。发现该漏洞的安全公司 Qualys 的研究人员表示，由于 Exim 代码极端复杂，他们不能保证漏洞利用方法是唯一的，可能存在更快的利用方法。漏洞编号为 CVE-2019-10149，运行 Exim 的服务器需要将其升级到今年2 月释出的 4.92 版本。根据 BinaryEdge 的搜索，有超过 470 万机器运行存在漏洞的版本。

三周前，微软不同寻常的向已终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708 aka BlueKeep，位于远程桌面服务中。微软表示它没有观察到该漏洞正被利用的证据，但认为攻击者很快会开发出漏洞利用代码并将其整合到恶意程序中。上周，微软再次发出警告，称仍然有多达一百万电脑没有及时打上补丁。本周，美国国家安全局也对这个漏洞发出了警告。虽然目前还没有利用该漏洞的恶意程序传播，但这只不过是时间问题。安全研究员 Sean Dillon 通过 Twitter 发布了视频，演示了对 BlueKeep 的漏洞利用，显示警告并非是空穴来风。视频展示了 Dillon 为 Metasploit 漏洞利用框架开发的一个模块，针对的是未打补丁的 Windows Server 2008 R2 系统。他认为这比 WannaCry 使用的 Eternal Blue 漏洞利用更简单。

上个月微软不同寻常的向已经终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708，位于远程桌面服务中，它也影响到仍然支持的操作系统如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。现在在半个月之后，微软安全响应中心的事故响应负责人 Simon Pope 在官方博客上警告说，虽然还没有观察到利用该漏洞的蠕虫，但这并不意味着没问题了。目前至少有一百万台联网的计算机没有打上补丁容易受到攻击。

多达 5 万服务器感染了挖矿恶意程序挖掘数字货币 TurtleCoin。攻击者被认为来自中国，受害者主要来自中国、美国和印度。攻击者使用了汉语编程语言易语言编写代码，但利用伪造证书和提权等比较高级的黑客技术。安全研究人员根据攻击者使用的一个服务器文本字符串将其命名为 Nansh0u。研究人员发现，攻击者几乎每周一个的速度创建恶意程序负荷，而且创建之后立即使用。攻击者首先使用端口扫描器扫描 MS-SQL 服务器，检查端口是否开启，如果开启使用暴力工具尝试登录，成功之后开始执行代码，利用了一个 2014 年的漏洞进行提权获得系统权限。攻击者服务器上的一个文件夹名字叫“传”——大概是传染的意思。

安全公司 Intezer 的研究人员披露了一种正被利用发动针对性攻击的 Linux 后门，它能逃避几乎所有杀毒软件的检测。被称为 HiddenWasp 的恶意程序包含了特洛伊木马、rootkit 和初始部署脚本。文件时间戳显示它是在上个月创造的。感染 HiddenWasp 的计算机被发现已经感染了相同攻击者的其它恶意程序，显示它是作为感兴趣目标的后续攻击使用的，能够上传下载代码，以及上传文件，执行多种指令。研究人员的分析显示，HiddenWasp 的部分代码借用自物联网僵尸网络恶意程序 Mirai，部分代码与 Azazel rootkit 和 ChinaZ Elknot 有相似之处。