根据 Zscaler ThreatLabz 的一份报告，一家财富 50 强企业今年初向勒索软件组织 Dark Angels 支付了创纪录的 7500 万美元赎金。此前已知金额最高的赎金是保险公司 CNA 向 Evil Corp 组织支付的 4000 万美元赎金。报告没有披露是哪家公司，但根据财富 50 强和攻击时间可以推断是制药巨头 Cencora。Cencora 在今年 2 月遭到了网络攻击，但没有一个组织宣布对此负责，这可能意味着该公司已经支付了赎金，Cencora 在财富 50 强企业中排名第 10。Dark Angels 专门瞄准少数高价值的目标以获取高额赎金，而不是同时针对多家公司获取多笔金额较小的赎金。它通常一次只攻击一个大公司，运作模式与大多数勒索软件组织不相同。

微软安全研究员督促 VMware ESXi hypervisor 用户立即采取行动，因为勒索软件组织正利用漏洞获得完整管理权限。ESXi 是 Type 1 hypervisor，aka 裸机 hypervisor，它本身就是操作系统，不是运行在 Windows 或 Linux 之上，相反客户操作系统则是运行在 ESXi 上，因此完整控制 ESXi 将赋予攻击者巨大的破坏能力。黑客利用的漏洞被称为 CVE-2024-37085，允许在目标服务器上获得有限系统权限的攻击者获得对 ESXi 的完全管理控制权。包括 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 在内的勒索软件组织正在利用该漏洞。微软已将该漏洞报告给了 VMware，VMware 母公司 Broadcom 已经修复了该漏洞。安全研究员发现，如果你已经属于域管理员组(domain admin)，那么只需要创建一个新的域组 ESX Admins，那么任何分配给该组的用户就会自动提权为 ESXi 不受限制的管理员，无需身份验证。

洛杉矶威尔郡大道(Wilshire)警局发出警告，一部分盗贼正利用干扰设备干扰 Wi-Fi 安全摄像头，在闯入室内前使摄像头停止工作。警方称这些盗贼相当专业，分工明确，有专门放哨的人，他们会从二楼闯入，抢劫珠宝和名牌皮包等高价值但体积小巧的物品。警方建议居民继续使用苹果 Air Tags 去标记汽车或钱包等贵重物品，以及与 Wi-Fi 提供商讨论如何硬接线防盗警报系统。警方还建议居民在外出度假时不要通过社交媒体广而告之。

2007 年，中国研究员 icelord 在 CSDN 发表了一篇博文，介绍了 BIOS Rootkit 的一种简单实现。2011 年，被称为 Mebromi 的 BIOS Rootkit 实现走到了现实生活里。2012 年行业联盟宣布采用 Secure Boot 去抵御 BIOS 恶意程序。Secure Boot 基于 BIOS 继任者 UEFI，它使用公钥加密阻止加载任何未使用预批准数字签名签名的代码。固件安全供应商 Binarily 上周发布的报告显示，戴尔、宏碁、富士通、技嘉、惠普、英特尔、联想和超微销售的数百款 PC 使用了 2022 年泄露的测试平台密钥(PK)保护其 UEFI Secure Boot 实现。加密密钥的泄露意味着 Secure Boot 所提供的安全保护被破坏了。泄露密钥由 AMI 创建，主要提供给客户测试用，但测试密钥却不知何故进入了产品中，而且在这些公司的 PC 产品中共享。Binarly 创始人兼 CEO Alex Matrosov 指出，想象一下，一栋公寓楼所有住客都有相同的前门锁和钥匙。如果有人丢失钥匙，整栋楼都会出问题。更糟的情况是，其它建筑物也使用了相同的锁和钥匙。总共有 215 款 PC 受到影响，你可以检查下自己使用的 PC 型号是否名单中。

微软在 2014 年完全终止了对 Windows XP 的支持，10 年后一台没有保护的 XP 系统联网的话会发生什么？它被恶意程序入侵的速度有多快？在几小时内 Malwarebytes 观察到了八种不同的病毒/木马，一个 DNS 改变器，一个新的用户账号，他甚至还打开了 Internet Explorer。Windows XP 相比今天的主流操作系统明显缺乏安全保障，但仍然有很多人使用它。根据 Statcounter 的统计，在中国 XP 占到了所有 Windows 版本的 1.48%，如果有一亿台 Windows 机器的话，那么运行 XP 的机器仍然数以百万计。

在因 CrowdStrike 问题更新导致全世界大约 850 万台 PC 蓝屏死机一周之后，该公司 CEO George Kurtz 表示 97% 运行该公司安全软件的系统恢复了上线。这意味着还有大约 25 万台 PC 受到影响。微软副总裁 John Cable 表示，有逾五千名支持工程师昼夜不停的工作帮助清理 CrowdStrike 更新导致的混乱，他表示微软考虑修改安全软件使用的内核访问权限，只要能不违反欧盟监管机构的规定。包括 CrowdStrike 在内的绝大多数安全软件都有内核访问权限，具有系统软硬件的完整访问能力，但这也意味着如果出错将会造成巨大破坏。macOS 限制了第三方内核扩展，因此 CrowdStrike 的问题没有影响到 macOS 系统。

美国司法部指控朝鲜黑客 Rim Jong Hyok 使用情报机构侦察总局(RGB)开发的恶意软件，对 8 家美国医疗机构、NASA、4 家国防行业企业以及中国的一家能源公司发动了勒索软件攻击。他的其它目标还有韩国企业。起诉书指控他通过中国洗白赎金，购买基础设施发动更多的攻击。美国司法部称，他们拦截了价值 11.4 万美元的虚拟货币，查封了其在线账号，但无法抓捕 Rim，他目前的身份和位置都未知，为获取其情报美国愿意支付 1000 万美元赏金。

.Top 全球顶级域名注册局江苏邦宁科技收到了 ICANN 的警告函，要求在 2024 年 8 月中旬前证明已经建立了一套管理钓鱼域名报告和封禁滥用域名的系统，否则将会面临取消域名出售资格。ICANN 此举是因为最新调查发现， .Top 是仅次于 .Com 的第二大钓鱼域名，ICANN 在警告信中指责邦宁科技未对 .top 域名相关的钓鱼攻击报告做出回应。根据 Interisle Consulting Group 的最新报告，在 2023 年 5 月到 2024 年 4 月之间，所有新 .top 域名中有 4% 被用于钓鱼攻击，在 276 万个 .top 域名中，去年有逾 117,000 个是钓鱼网站。

安全公司 Check Point 的研究人员在最大代码托管平台 GitHub 上发现了一个由大约 3,000 个幽灵账户组成的秘密网络，操纵该平台推广恶意程序。研究人员发现，自 2023 年 6 月起，被称为 Stargazer Goblin 的网站罪犯利用幽灵账号给含有恶意内容的页面添加星标，创建分支和加关注的方法提高其可见度和可行度。研究人员将该网络称为 Stargazers Ghost Network，主要针对 Windows 用户，提供看起来合法的工具如免费 VPN 下载，同时传播各种勒索软件和窃取信息的恶意程序。黑客是通过 Telegram 频道和地下犯罪市场协调性的交易软件库和加星标。

安全公司 ESET 上月初在一个黑客论坛发现有人在出售一个 Android 版本的 Telegram 漏洞，允许攻击者在 Telegram 频道、群组和聊天中发送伪装成视频的恶意文件。研究人员称该漏洞为 EvilVideo，Telegram 在本月初的 v10.14.5+ 版本中修复了该漏洞。攻击者有大约五周时间利用该 0day 漏洞，但不清楚是否被利用。EvilVideo 利用了 Telegram 自动下载媒体文件的默认设置。该设置可手动禁用，但如果用户点击共享文件的下载按钮，有效负荷仍可以安装在设备上。如果用户尝试播放，Telegram 会显示无法播放的信息，建议使用外部播放器，黑客将恶意应用伪装成外部播放器。修复后的 Telegram 能正确将恶意文件识别为应用而不是视频。

微软对无法自动接收 Crowdstrike 最新补丁的机器提供了一个创建可启动 U 盘的恢复工具。该恢复工具通过 USB 启动到 Windows PE 环境，访问磁盘，然后自动删除有问题的 CrowdStrike 文件，从而允许计算机正常启动。如果磁盘被 BitLocker 加密，用户需要输入 BitLocker 恢复密钥。上周五发生的 Crowdstrike 事件所产生的影响一直到周日也没有消失，根据 FlightAware.com 的数据，周日下午有逾 1200 多个进出美国的航班取消，逾 5000 个美国航班延；周六有 2136 个美国航班取消，逾 21,300 个航班延误。

上周五，全世界大部分地区都在应对至今 IT 史上最严重的安全事故，但有一个国家基本未受到影响：中国。原因十分简单，Crowdstrike 的安全软件在中国基本无人用。很少有中国机构会购买美国的安全软件，中国对微软的依赖程度也没有其它地区高，阿里巴巴、腾讯和华为是主要的云服务商。因此遭遇 Crowdstrike 蓝屏死机事件的主要是在华外企或组织，根据社交媒体上的信息，中国用户报告无法入住喜来登、万豪和凯悦等国际连锁酒店。网络安全专家 Josh Kennedy White 称，微软通过其本地合作伙伴世纪互联在中国开展业务，世纪互联的基础设施独立于微软在全球的基础设施。这种设置使得中国的基本服务如银行和航空免受全球干扰。

FBI 本周早些时候宣布它成功破解了特朗普集会枪手 Thomas Matthew Crooks 的手机。彭博社最新报道披露了更多相关细节。枪手使用的三星的一款较新型的 Android 手机，FBI 首先尝试利用以色列数据情报公司 Cellebrite 的软件去绕过或识别手机密码，但未能成功。FBI 随后直接联络 Cellebrite 寻求帮助。Cellebrite 之后提供了该公司仍然在开发中的新软件。FBI 利用新的软件在 40 分钟内解锁了手机。根据媒体的最新报道，Crooks 的手机上还有拜登等人的照片，他选择特朗普作为目标可能是因为这次集会距离他最近。

网友通过社交媒体报告了大规模 Windows 蓝屏死机（BSOD）事故，而所有受影响的机器都安装了 Crowdstrike Falcon。澳大利亚和新西兰可能是第一个遭遇该问题的地区，它导致了网站下线服务中断，受影响的机构包括澳大利亚国家广播公司 ABC、四大银行、Foxtel、Telstra 和 NBN 等等。Crowdstrike 是一家网络安全公司，为世界各地的客户提供端点安全、情报威胁和网络攻击的安全服务。它的 Falcon 平台帮助客户实时搜寻和收集数据。这次事故被认为是 Crowdstrike Falcon 最新更新导致的。如果遇到该问题，权宜之计是在安全模式下重命名文件夹 c:windowssystem32driverscrowstrike。

安全公司 Red Threat 的研究员 Andrew Lemon 周四发表两篇博文，披露了交通灯控制器漏洞。他在 Q-Free 公司的 Intelight X-1 控制器中发现了一个漏洞，允许任何人完全控制交通灯，该漏洞是因为它暴露在互联网上的 Web 界面无身份验证。他发现可以改变灯和计时，制造出某种交通堵塞，但名叫 Malfunction Management Unit 的设备阻止他将所有交通灯改为同一种颜色。他的团队发现了 30 台暴露在网上的控制器。他联络了 Q-Free，结果是收到了律师函，指控他们的研究涉嫌违反反黑客法律《Computer Fraud and Abuse Act》。

印度加密货币交易所 WazirX 证实周四有价值 2.3 亿美元的加密货币被可疑的转出该平台。它的一个多重签名钱包被入侵，它暂停了所有提款。根据第三方区块链跟踪服务 Lookchain 的报告，逾 200 种加密货币，其中包括 54.3 亿 SHIB 代币、逾 15,200 以太币代币、2050 万 Matic 代币、6400 亿 Pepe 代币、579 万 USDT 和 1.35 亿个 Gala 代币被从该平台盗走。WazirX 上个月报告它的加密货币资产价值约 5 亿美元。

CDN 和安全服务商 Cloudflare 发表了 2024 年度的《State of Application Security Report》报告，称 6.8% 的互联网流量是恶意的，比去年上升了 1 个百分点。Cloudflare 认为恶意流量的上升与战争和选举有关。多数攻击者是来自俄罗斯的组织如 REvil、KillNet 和 Anonymous Sudan。DDoS 攻击仍然是网络罪犯首选的武器，占到了 37%。DDoS 攻击的复杂度也在提高，去年 8 月的 HTTP/2 Rapid Reset DDoS 攻击峰值流量达到每秒 2.01 亿个请求(RPS)，是此前观察到最高记录的三倍。报告还突出了 API 安全的重要性，六成的动态 Web 流量与 API 相关，它们是攻击者的主要目标。Cloudflare 处理的 HTTP 请求约有 38% 被归为自动机器人流量，它认为可能多达 93% 的机器人是恶意的。

自称 NullBulge 的黑客组织以抗议 AI 生成作品的名义入侵了迪士尼的内部 Slack 消息档案库，上周四公开了其窃取了 1.1 TB 数据。窃取的数据来自上万个频道，包括未发布项目、代码、图像、登录凭据以及内部网站和 API 的链接。黑客组织声称获得了迪士尼内部人士的帮助，但目前还无法确认。迪士尼表示正对此事展开调查。窃取的数据一开始发布在 BreachForums 上，之后被移除，目前镜像网站还保留了备份。NullBulge 自称是一个黑客行动主义组织，旨在保护艺术家的权利并确保其作品获得公平报酬。

新加坡金融管理局要求主要零售银行在三个月内淘汰一次性密码。此举旨在保护消费者免遭钓鱼攻击和其它欺骗活动。金融管理局指出，一次性密码是在本世纪初引入的，随着科技发展和更复杂社会工程策略的出现，一次性密码已经无法保护客户。如果一次性密码是基于短信，那么攻击者能利用 SIM swapping 攻击去拦截短信。新加坡银行客户将用数字令牌替代一次性密码。新加坡银行协会称，该国三大银行星展银行、华侨银行和大华银行的 六成至九成客户已激活数字令牌。

AT&T 今年五月向窃取了其数千万客户通话记录的黑客组织成员支付了价值 37 万美元的比特币赎金。黑客组织 ShinyHunters 今年早些时候从云存储公司 Snowflake 窃取了逾 150 家公司的数据，其中包括了 AT&T。
区块链记录显示，AT&T 于 5 月 17 日向黑客的钱包地址转移了 5.7 比特币，黑客还向 AT&T 提供了视频，演示了他从其计算机中删除窃取数据的证据。黑客最初索要 100 万美元的赎金，最后同意将赎金金额减少到原来的三分之一。