自 2019 年以来，勒索软件团伙已经从暗网泄露了 2103 家公司的数据。现代化勒索软件行动始于 2013 年，攻击者的方式主要是对企业数据进行加密，然后要求支付赎金来获得解密。不过自 2020 年年初以来，勒索软件行动开始进行一种新的战术，称为双重勒索（double-extortion）。 双重勒索是指勒索软件在加密网络值钱窃取未加密的文件。然后攻击者会威胁说，如果企业不支付赎金，那么就会在暗网上公开被盗的文件。由于无法恢复加密文件以及数据可能被泄露、政府罚款和诉讼的额外担忧，威胁者寄希望于这将迫使受害者更容易地支付赎金。...

美国最大的燃料管线之一在遭受网络攻击后被其运营商关闭了。据《纽约时报》报道，为美国东部地区输送45%燃料供应的Colonial管道公司周五晚些时候在一份声明中说，它 "关闭了某些系统以控制威胁，这暂时停止了所有管道的运作，并影响了我们的一些IT系统。" 该管道长5500英里，从墨西哥湾沿岸向纽约输送飞机引擎燃料和精炼汽油，每天运输约250万桶。 目前还不清楚这次攻击是否针对Colonial的工业控制系统，或者是否涉及勒索软件或恶意软件。总部位于乔治亚州阿尔法雷塔的科隆公司表示，它已经聘请了一家 "领先的第三方网络安全公司来调查该事件的性质和范围，并已与执法部门联系。...

此前为了一个处心积虑的 Linux 安全研究项目，两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后，其立即遭到了 Linux 及安全社区的炮轰。最新消息是，由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会， 作为一名受人尊敬的 Linux 稳定版内核维护贡献者，Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查，且临时禁止了任何与 UMN 有关的提交。...

由 Epic 与苹果在法庭上展开交锋期间披露的电子邮件信息可知，2015 年的时候，共有 1.28 亿 iOS 用户下载了被 XcodeGhost 恶意软件感染的应用程序。当时逃过官方检测的 XcodeGhost，旨在通过挖掘用户数据来牟利。尽管苹果很快采取了行动， 在本周的 Epic Games 诉苹果 App Store 案件审理期间，我们终于对 XcodeGhost 黑客攻击事件的影响范围有了更清晰的了解。 率先曝光这一系列邮件的 Motherboard 指出：期间共有 1.28 亿用户下载了含有恶意代码的 2500 多款应用程序，且其中约 1800 万用户均位于美国地区。...

微软宣布了一项名为 "微软云的欧盟数据边界"的新举措，通过这一做法，微软旨在使欧盟客户在2022年前将其所有数据存储在该地区。该计划适用于该公司的所有核心云服务，即Microsoft 365、Dynamics 365和Azure，这将为那些希望满足本地数据存储要求和实现本地化承诺的客户带来更大的安心。 微软将继续与这些组织以及监管机构合作，确保在2022年底前完成实施这一变化的工程工作。 现在，微软大部分在线服务允许用户选择数据存储的地理位置，但在未来几个月，它将进一步加强这些服务，以减少欧盟以外的数据传输，然而，客户仍将有能力利用增强的服务，利用位于欧盟以外的资源。...

Apple Insider 报道称：早在 2016 年，苹果就已经收购了恶意软件检测初创企业 SourceDNA 。但直到其被扯进 Epic Games 诉苹果 App Store 案件，外界才正式获知了这一消息。作为一家初创企业， 苹果应用审查流程高级主管 Trystan Kosmynka 表示，XcodeGhost 引发的问题，让他们提起了收购 SourceDNA 的浓厚兴趣。...

戴尔固件更新驱动中发现了重大漏洞，能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险，但它仍然是一个重大问题，最近 10 年内推出的数百万台戴尔设备均受到影响。 去年 12 月，研究公司 SentinelLabs 就向戴尔报告了这个漏洞，并发布了包含所有信息的详细博客。此外，来自 Crowdstike 的 Alex Ionescu 说，“3 家独立的公司花了 2 年时间”，才将修复措施落实到位。...

随着互联网的普及和不断发展，躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来，我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道，且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁，都使用了欺骗性的电子邮件作为攻击媒介，以诱使受害人在设备上安装恶意软件。 今天，软件巨头微软再次发布了面向组织机构的反诈宣传文案，并且强调了已经泛滥成灾的礼品卡骗局。 文中指出，攻击者正在利用企业电子邮件泄露（BEC）。作为一种网络钓鱼技术，其旨在访问企业信息或窃取金钱。...

居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知，但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密，且没有任何好友，Pelonton 应用程序接口（API）的这个安全漏洞，还是允许任何人获取用户的私人账户数据。 Peloton 的客户群里有许多名人，甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上，该公司还提供了丰富的订阅选项，其中包括了各种各样的课程。...

本周，趋势科技（Trend Micro）安全研究人员分享了有关“Panda Stealer”恶意软件的详情。可知除了垃圾邮件、攻击者还选择了将它放入 Excel 文档并通过 Discord 渠道进行传播，以窃取用户的加密货币。由目前上传至 VirusTotal 的样本和调查分析可知， 安全研究人员指出，Panda Stealer 会在钓鱼邮件中将自身伪装成企业询价。在欺骗受害者打开了 .XLSM 后缀的文件并启用宏操作后，恶意软件就会尝试下载并执行主窃取程序。...