VMware 用于数据中心管理虚拟化的软件 vCenter Server 曝出了一个高危漏洞。漏洞编号 CVE-2021-21985，危险等级 9.8/10。VMware 称，因默认启用的插件 Virtual SAN Health Check 缺乏输入验证，vSphere Client (HTML5)包含了一个远程代码执行漏洞，能访问端口 443 的攻击者可能利用漏洞执行指令。全世界有 4.3 万家机构使用 vSphere，其中 5594 个服务器可公网访问，美国最多，其次是德国和中国。

安全研究人员发现了一个以以色列为攻击目标、伪装成勒索软件的磁盘数据删除恶意程序。被称为 Apostle 的恶意程序早期版本存在 bug，在尝试删除数据时会失败。后期的版本修复了 bug，还引入了勒索软件行为，会留下勒索通知索要赎金解密加密数据。研究人员根据代码以及它使用的服务器认为开发该恶意程序的黑客组织与伊朗政府有关联。它的主要攻击目标是以色列。研究人员将该黑客组织命名为 Agrius，认为勒索软件功能是为了伪装毁灭数据的真实目的。

化名 darksupp 的黑客去年 11 月在俄语黑客论坛 XSS.is 发帖为勒索软件即服务 DarkSide 招募加盟成员。根据 DarkSide 的加盟分成比例：如果赎金低于 50 万美元加盟者可以分到 75% 的赎金，如果赎金高于 500 万美元，分成比例将提高到 90%。根据加密货币跟踪公司 Chainalysis 的统计，在过去 7 个月内，DarkSide 至少赚到了 6000 万美元，其中 4600 万美元来自于今年前 3 个月。在从美国最大燃油管道公司 Colonial Pipeline 勒索到 500 万美元和从化学品公司优信邦泰勒索到 440 万美元之后，引发广泛关注的 DarkSide 上周突然宣布终止运营，声称失去了对其网络基础设施和部分比特币钱包的控制。之后 DarkSide 成员就销声匿迹了。而在 XSS.is 论坛上，部分 DarkSide 加盟成员投诉 DarkSide 管理者没付钱就跑路了。

Google 警告未知黑客正在利用最近披露的 4 个 Android 漏洞执行恶意代码完整控制设备。这四个漏洞是在 5 月 3 日披露的，Google 已经向 Android 厂商释出了安全更新，由后者负责将补丁推送给用户。Google Project Zero 的安全研究员 Maddie Stone 将这四个正利用的漏洞称为 0day。成功利用漏洞允许完整控制受害者的手机。今年至今 Android 系统发现了 4 个 0day，相比下去年只发现 1 个。

最大的自由开源软件 IRC 网络 Freenode 疑似发生了剧变，多位志愿者辞职并呼吁用户尽快迁移到新的 IRC 网络 libera.chat，称运行在 freenode.org/net/com 中的 IRC 网络应该被假设控制在一位恶意方手中。Freenode 的域名控制在一家叫 Freenode Limited 的手中，但这家公司并不参与 Freenode 网络的运营，Freenode 网络完全由一群志愿者（被称为 Freenode Staff）管理，所有服务器都由第三方赞助。几年前 Freenode Staff 的前负责人将公司出售给了 Andrew Lee，现在志愿者指责他敌意接管了域名，并试图用自己的人去替代社区志愿者。Andrew Lee 在 Freenode 官网发表声明，否认了这一指控。

爱尔兰公立医疗保健系统 Health Service Executive (HSE)遭到了 Conti 勒索软件的攻击，攻击者索要 2000 万美元的赎金，HSE 表示拒绝支付，它关闭了整个 IT 系统，正在评估情况。根据 Conti 黑帮与 HSE 之间的聊天记录，Conti 称它访问 HSE 的网络长达两周，窃取了 700 GB 的数据，包括病人和雇员信息，合同、财报和工资信息等。如果 HSE 同意支付 19,999,000 美元的赎金，它将提供解密和删除窃取的数据。爱尔兰总理 Micheál Martin 表示该国不会支付任何赎金。Conti 被认为有俄罗斯黑客组织 Wizard Spider 运营。

瑞典的一位计算机科学家在 Marvin Minsky 设计的通用图灵机（Universal Turing Machine）中发现了一个 0day 漏洞，允许任意代码执行。这一发现应该没什么“实际意义”。瑞典皇家理工学院的 Pontus Johnson 教授在预印本网站 ArXiv 发表了他的研究报告，解释了漏洞。通用图灵机被认为是计算机的最简单最抽象模型。Minsky 的 1967 年通用图灵机实现被发现缺乏输入验证，能被利用执行任意代码。该漏洞被分配了编号 CVE-2021-32471，目前没有补丁也没有方法阻止漏洞利用。

DarkSide 勒索软件黑帮在服务器和支付给下线的比特币账号被扣押之后宣布终止运营。DarkSide 组织者在一则声明中称，几个小时前它失去了对其基础设施公开部分的访问，几个小时后支付服务器上的资金被转移到一个未知地址。DarkSide 宣布它将公开解密工具允许所有遭到勒索但还没有支付赎金的公司解密数据。DarkSide 的信息还包括了另一个勒索软件组织 REvil 成员的声明，安全专家此前相信 DarkSide 的核心成员与 REvil 黑帮有着密切联系。REvil 成员声明它将限制其成员勒索任何国家的医疗和教育机构以及政府组织，其联盟成员在感染受害者前需要获得批准。

加州公路巡警逮捕了一名坐在后排而前排驾驶位无人的特斯拉车主。25 岁的 Param Sharma 被控鲁莽驾驶和不服从警官。他被发现至少两次坐在汽车后排而前排无人驾驶。本周一警方在接到多个 911 举报电话之后将其逮捕，他被关押了一夜，释放之后又再次犯下了同样的罪行。Sharma 声称他觉得坐在后排感觉更安全。他对特斯拉汽车的自动驾驶能力十分有信心，称 Elon Musk 很清楚知道在做什么。他在社交媒体上发布了自己坐在后排前排无人的视频，称自己很有钱，已经又买了一辆特斯拉（前一辆被警方扣押了），是百万富翁。

化学品贸易公司优信邦泰向 DarkSide 勒索黑帮支付了价值 440 万美元的比特币赎金以解密加密的数据和防止窃取的数据公开。总部位于德国的优信邦泰在全世界有 1.7 万名雇员，它的北美分公司在本月初遭到了勒索软件的攻击，DarkSide 在加密前窃取了 150 GB 的数据。它一开始索要 133.65 个比特币，价值约 750 万美元，在协商之后赎金降至了 440 万美元，5 月 11 日优信邦泰向攻击者的地址发去了比特币赎金。DarkSide 最近因为攻击了美国最大燃油管道公司而引发了广泛关注。

非常受欢迎的俄语黑客论坛 XSS 禁止了所有勒索软件话题，此举是为了防止不必要的关注。勒索软件即服务的黑帮如 REvil、LockBit、DarkSide、Netwalker 和 Nefilim 经常在 XSS 上招募下线。在 DarkSide 加密了 Colonial Pipeline 干扰了美国燃油管道运营之后，执法机构和安全研究员越来越多的开始搜寻勒索软件黑帮以及推广勒索软件的网站。XSS 论坛的管理员称，勒索软件主题危险且有毒。

微星在其官网英文版本发出警告，称有可疑网站伪装成它的超频软件 MSI Afterburner 官网（域名 https://afterburner-msi.space），而它的 Afterburner 官方地址是 https://www.msi.com/Landing/afterburner/graphics-cards（中文版为 cn.msi.com）。微星警告用户不要从该网站下载任何软件。微星目前关闭了 MSI Afterburner 软件的下载以例行维护，这可能是有人尝试冒充的原因。

彭博社报道，美国最大燃油管道公司 Colonial Pipeline 上周五就向东欧的黑客支付了近 500 万美元赎金。这一消息与本周早些时候报道称该公司无意支付赎金相矛盾。Colonial 被认为是在恢复管道运营的巨大压力下决定支付赎金。黑客在收到赎金之后提供了解密工具，但整个解密过程非常缓慢，Colonial 因此继续使用备份恢复系统。Colonial 是在美国时间周三宣布恢复运营，但同时表示整个燃油供应链恢复正常还需要数天时间。500 万美元赎金对于 Colonial 这样大的公司而言是非常低的，勒索软件黑帮可能也意识到他们的目标相当棘手，可能会引发政府的强烈反应。美国政府通常反对支付赎金，因为这会激励攻击者去寻找下一个勒索目标。

美国最大燃油管道运营商 Colonial Pipeline 在遭勒索软件攻击关闭管道五天之后宣布恢复运营，但燃油输送供应链恢复正常还需要几天时间。路透援引知情人士的消息报道，该公司并不打算向黑客支付赎金。Colonial 是在上周五关闭输油管道的，管道的关闭引发了燃料短缺，美国东南部还出现恐慌性抢购，部分地区还有人因争抢燃料而大打出手。

上月底，美国哥伦比亚特区警察局的服务器感染了勒索软件 Babuk Locker，攻击者在其网站上公布了窃取到的警方文件截图，要求警方支付赎金否则将公开敏感文件。Babuk Locker 黑帮索要 400 万美元赎金，但警察局的谈判专家只愿意提供最多 10 万美元，如果不接受那么没有什么值得继续谈下去。代表 Babuk Locker 的谈判者表示这是无法接受的。现在，在赎金谈判未成功之后，黑帮在其暗网网站上披露了二十多名警官的心理评估和测谎测试报告，以及驾照照片、指纹、社会安全保障号、出生日期、居住地、财务和婚姻历史。

计算机科学家披露了影响几乎所有 Wi-Fi 设备的 FragAttacks 漏洞。这组漏洞统称为 FragAttacks，代表 fragmentation and aggregation attacks，在受害者无线电射程内的攻击者能利用这些漏洞窃取用户信息或攻击设备。其中三个漏洞是 Wi-Fi 标准的设计缺陷，还有几个是 Wi-Fi 产品的编程错误。地球上几乎每一个 Wi-Fi 设备都受到其中一个或多个漏洞的影响。更新和修复这些设备事实上也是几乎不可能的事，因为很多设备在发布之后就不再更新了，研究人员的建议是尽可能访问启用 HTTPS 加密的网站，以及关闭 Wi-Fi 设备的分片、成对密钥更新和动态分片。漏洞细节和攻击演示可访问他们专为此设立的网站 www.fragattacks.com。

美国最大燃油管道公司 Colonial Pipeline 在遭到勒索软件 DarkSide 攻击之后被迫关闭管道，至今没有恢复。FBI 发表声明表示正在调查这起事件。DarkSide 从 2020 年夏天开始活跃，采用的策略和其它知名的勒索软件类似：以大企业为目标，以加盟方式将勒索软件变成一种服务，实行双重勒索即加密数据又窃取数据。此前 DarkSide 还高调的表示向慈善组织捐款，表示要将勒索所得“让世界变得更好”，它试图以侠盗罗宾汉自诩。但对 Colonial Pipeline 的攻击是至今最严重的勒索事件。DarkSide 周一发表声明，表示他们并不关心政治，也不参与地缘政治，不要将他们与某个政府关联起来去寻找动机，他们只想要赚钱，而不是给社会制造麻烦，他们将引入一个审核机制，检查合作伙伴想要加密的企业避免未来可能产生的严重社会后果。

新的技术正让旧式的犯罪活动更容易实施也让犯罪分子更难以被抓住：美国报告去年互联网欺诈案件增长了 69%；毒贩广泛使用比特币；勒索软件黑帮去年勒索到的比特币赎金达到了 3.5 亿美元，比 2019 年增长了 311%。英国国家犯罪调查局的 Nigel Leary 说，有组织犯罪现在基本上都用到数字元素。Sussex 大学的计算机新科学家 Alan Woodward 称勒索软件是当前有组织犯罪世界最大的单一威胁。网络犯罪分子主要来自东欧地区，原因可能是俄罗斯和白俄罗斯更能容忍犯罪活动，只要他们的欺骗目标是外国人。网络犯罪活动的一个不同点是它不像贩毒集团或黑手党那样组织严密，而是非常分散，犯罪过程中的不同元素作为一种服务提供给组织者：一部分人写恶意程序，另一部分人设法将恶意程序植入到目标计算机，还有一部分人收集赎金并将其洗白。他们彼此之间可能不知道对方的身份或位置。大型银行抢劫之类的犯罪活动以前是需要周密策划并需要人工去实施，进入的门槛是很高的，但今天的“银行抢劫”门槛要低得多。

美国最大的燃油管道运营商 Colonial Pipeline 遭勒索软件攻击关闭管道之后，美国宣布进入紧急状态。Colonial 每日输送 250 万桶燃油，占到了美国东海岸供应量的 45%。紧急状态将允许燃油通过公路运输。专家称燃油价格预计周一将上涨 2-3%，如果管道关闭时间过长情况将会恶化。多个消息源证实 Colonial 遭到的是 DarkSide 勒索软件的攻击，攻击者还窃取了 100 GB 的数据。这是有报告的最具破坏性的勒索事件之一，促使美国立法者要求加强对美国关键能源基础设施的保护，以防止遭受黑客攻击。美国商务部长雷蒙多(Gina Raimondo)表示，恢复管道运营是拜登政府的重中之重，华盛顿在帮助 Colonial 尽快重启其从德克萨斯州到新泽西州的超过5,500英里(8,850公里)的管道网络，来避免更严重的燃油供应中断。

供应了美国东海岸 45% 燃料的管道公司 Colonial Pipeline 在遭到勒索软件攻击后关闭运营。这一事件凸显了勒索软件等网络攻击对物理基础设施日益增长的威胁。Colonial Pipeline 发表声明确认遭到勒索软件攻击，称攻击发生在周五，部分 IT 系统受到影响，已聘请外部网络安全公司调查攻击的性质和范围，已联络了执法机构和联邦机构。石油分析师称，攻击对燃料价格的影响取决于管道关闭的时间长度，如果只关闭一两天那么影响会很小，如果关闭五天到六天那么可能会导致供应短缺和价格上涨。