网络犯罪分子正不断提高技术方式，寻找利用用户并获取其个人数据的新方法。过去，欺骗用户提供敏感信息最常见的方式就是网络钓鱼攻击，伪装成可靠的来源并要求提供用户的数据。不过根据思科 Talos 威胁情报组织的最新安全报告，作为从不知情的用户那里获取信息的有效方法，一种新的恶意活动已经越来越受到重视。 这种方法叫做“恶意广告”（malvertising），Talos 情报组织认为，一个被称为“Magnat”的特定活动利用欺诈性的在线广告来欺骗那些正在搜索合法软件安装程序的用户。思科威胁情报团队认为，Magnat 活动可能在 2018 年底开始，目标是加拿大、美国、澳大利亚和其他几个欧洲国家的用户。 一旦用户被引导到欺诈性下载，他们就会运行一个假的安装程序，将三个不同的恶意软件部署到他们的系统。虽然假安装程序开始安装多个恶意软件组件，但它并没有安装用户最初搜索的实际应用程序。 第一款恶意软件是一个密码窃取器，用于收集用户凭证，通常通过一个被称为 Redline 的普通工具。另一个恶意软件，称为 MagnatBackdoor，通过微软远程桌面设置对用户设备的远程访问。这种访问，结合由 Redline（或类似工具）窃取的用户凭证，可以提供对用户系统的不受约束的访问，尽管它是安全和防火墙。第三款恶意软件是一个被称为 MagnatExtension 的 Chrome 浏览器扩展，它被用于键盘记录，获取敏感信息的屏幕截图等。 2021年8月的一条推文提供了一个可疑的恶意广告活动的截图和下载样本。Talos分析了推文中提到的样本，并验证了至少一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。 Talos认为Magnat工具经过几年的发展和改进，并没有很快放缓的迹象。安装包的名称不断变化，通常参考流行的应用程序的名称，以增加可信度，并欺骗用户部署该包。过去软件包名称的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。   （消息及封面来源：cnBeta）

一个名为C-23(也被称为 GnatSpy，FrozenCell，或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性，这些特性使得它们对用户的行为更具适应力，用户可能会试图手动删除它们，安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名，但这些恶意应用程序也能应对。 这款间谍软件做了以下事情: 收集短信，联系人，通话记录 收集图片和文档 记录音频，呼入和呼出电话，包括 WhatsApp 的通话 截屏和录制屏幕视频 用相机拍照 隐藏自己的图标 阅读 WhatsApp、 Facebook、 Facebook Messenger、 Telegram、 Skype、 IMO Messenger 或 Signal 的通知 取消内置安全应用程序(如三星安全代理、小米 MIUI 安全中心、华为系统管理器)以及安卓系统应用程序、包安装程序和自身的通知     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1771/ 消息来源：SophosNews，封面来自网络，译者：Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Hackernews编译，转载请注明出处： 今年，借助一个叫做 Tardigrade 的恶意软件装载器，一个 APT攻击了 两家生物制造公司。 生物经济信息共享与分析中心(BIO-ISAC)发布了一份公告，其中指出，恶意软件正在整个行业中广泛传播，它们的目的可能是盗窃知识产权，保证持续性，并用勒索软件感染系统。 今年春天，一家不知名的生物制造设施被勒索软件攻击，BIO-ISAC 随后开始进行调查。该公司表示，Tardigrade 是一种复杂的恶意软件，具有“高度自主性和变形能力”。2021年10月，这个恶意软件被用来攻击第二个实体。 这些“快速扩散”的入侵行为还不知道背后主使者是哪个攻击者或某个国家，但该机构告诉 The Hill ，这些行为与之前一个与俄罗斯的黑客组织的攻击行为相似。 Tardigrade 通过钓鱼邮件或受感染的 USB 驱动器传播，是 SmokeLoader 的一个高级分支。 SmokeLoader 是一个基于 windows 的后门，由一个名为 Smoky Spider 的组织操作，早在2011年就可以在地下市场上销售，SmokeLoader 拥有捕捉击键、通过受损网络横向移动以及升级特权的能力。 此外，该恶意软件还充当了额外恶意软件有效载荷的入口点，即使在与其C2服务器断开连接以实施其恶意攻击的情况下，该恶意软件也能自主运行。 生物制造行业的企业最好进行一下软件更新，加强网络分割，并测试关键生物基础设施的离线备份，以减轻黑客攻击带来的影响。 ”由于变形行为，这种恶意软件极难检测到。”研究人员表示，对关键人员的企业计算机保持警惕非常重要。他们补充说，“该领域的许多机器使用的是过时的操作系统。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

反病毒软件主要根据各种病毒特征进行预防、隔离等操作，但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal，这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件，可以测试你的 CPU、GPU、内存、存储驱动器（SSD和/或HDD）和 USB 驱动器。该软件最近的一些版本还包括一个“技能工作台”（Skill Bench），基本上也是为用户提供基准测试。 但是，如上所述，目前有近20种反病毒软件，准确地说，有23种，将该软件标记为恶意软件，其中绝大多数将其识别为木马程序（如下图）。这个问题并不完全是新问题，因为像这样的案例是由用户在网上论坛上报告的。 微软也在这个反恶意软件的名单中，将UserBenchmark标记为一个恶意的木马。根据微软安全情报1.353.1394.0版本，UserBenchmark是”危险的，可以执行攻击者的命令”。该应用程序已被标记为”严重”威胁。 从上面的截图来看，由于 UserBenchmark 的 Nullsoft 脚本安装系统（NSIS）性质，它似乎被检测为恶意软件。事实上，NSIS的网站指出，这是一个常见的误报问题，因为许多反病毒程序将 NSIS 文件标记为潜在的恶意软件。但是，这可能确实是一个值得警惕的问题，因为在 NSIS 包内捆绑恶意软件也是可能的。   （消息及封面来源：cnBeta）

Hackernews编译，转载请注明出处： Emotet恶意软件在中断十个月后，于15日开始运行，该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染，通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件，恶意宏或JavaScript文件，将下载Emotet DLL并使用PowerShell将其加载到内存中。 一旦加载，恶意软件将搜索和窃取电子邮件，用于之后的垃圾邮件攻击，并植入额外的有效载荷，如TrickBot或Qbot，这些载荷通常会使设备遭勒索软件感染。   Emotet垃圾邮件攻击卷土重来 15日晚，网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记，解释 Emotet僵尸网络是如何再一次滥发多个电子邮件，用Emotet恶意软件感染设备。 据邓肯说，垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。 回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。 在邓肯分享的样本中，我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。 这些电子邮件的附件是恶意宏的Excel或Word文档，或包含恶意Word文档的受密码保护的ZIP文件附件，示例如下所示。 目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。 第一个是Excel文档模板，该模板说明文档只能在台式机或笔记本电脑上起效，用户需要单击“启用内容”以正确查看内容。 恶意Word附件正在使用“红色黎明””模板，并表示由于文档处于“受保护”模式，用户必须启用内容和编辑功能，才能正确查看。   Emotet附件如何感染设备 打开Emotet附件时，文档模板将声明预览不可用，您需要单击“启用编辑”和“启用内容”以正确查看内容。 但是，单击这些按钮后，将启用恶意宏，启动PowerShell命令，从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。 下载后，将使用C:\Windows\SysWo64\rundll32.exe启动DLL，它将DLL复制到%LocalAppData%下的随机文件夹中，然后从该文件夹重新运行DLL。 一段时间后，Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值，以便在Windows启动时启动恶意软件。 Emotet恶意软件现在将在后台静默运行，同时等待从其C&C服务器执行命令。 这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机，还可以安装其他有效负载，如TrickBot或Qbot特洛伊木马。 目前，BleepingComputer还没有看到Emotet植入的任何额外有效载荷，这也得到了邓肯测试的证实。 邓肯告诉BleepingComputer：“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。” “也许我们会在未来几周看到一些额外的恶意软件有效载荷，”研究人员补充道。   防御Emotet   恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表，外围防火墙可以阻止与C&C服务器的通信。 阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。 在2021年1月，一次国际执法行动摧毁了Emotet僵尸网络，十个月以来，该恶意软件一直保持沉寂。 然而，从周日晚上开始，活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序，为垃圾邮件攻击重建僵尸网络。 Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件，以了解新的动态。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

早在 5 月，微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责，并同企业、政府和执法机构达成了合作，以遏制此类网络攻击的负面影响。早些时候，微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏，并获得“HTML Smuggling”系统的访问权。 HTML Smuggling 技术概览（图自：Microsoft Security） 微软表示，HTML Smuggling 是一种利用合法 HTML5 和 JavaScript 功能、以高度规避安全系统检测的恶意软件传送技术。 钓鱼邮件示例 近年来，这项技术已被越来越多地用于部署网银恶意软件、远程访问木马（RAT）、以及其它有针对性的钓鱼邮件活动。 Mekotio 活动中曝光的威胁行为 其实早在今年 5 月，这项技术就已经在 NOBELIUM 发起的钓鱼邮件活动中被观察到，最近的案例包括网银木马 Mekotio、AsyncRAT / NJRAT 和 Trickbot（控制肉鸡并传播勒索软件负载和其它威胁）。 HTML Smuggling 网页代码示例 顾名思义，HTML Smuggling 允许攻击者在特制的 HTML 附件或网页中“夹带私货”。当目标用户在浏览器中打开时，这些恶意编码脚本就会在不知不觉中被解码，进而在受害者的设备上组装出有效负载。 被 JavaScript 加花的 ZIP 文件 换言之，攻击者没有直接通过网络来传递可执行文件，而是绕过了防火墙、再在暗地里重新构建恶意软件。举个例子，攻击者会在电子邮件消息中附上 HTML Smuggling（或重定向）页面链接，然后提示自动下载序列。 钓鱼页面 为帮助用户辨别愈演愈烈的 HTML Smuggling 攻击，微软在文中给出了一些演示实例，告诫银行与个人采取必要的防御措施，同时不忘推销一下自家的 Microsoft 365 安全解决方案。 在浏览器中构造的、带有密码保护下载器的 JavaScript 实例 据悉，Microsoft 使用多层方法来抵御网络威胁，通过与一系列其它终端防御措施协同合作，以阻止在攻击链的更高层执行并减轻来自更复杂攻击的后果。 Trickbot 钓鱼活动的 HTML Smuggling 攻击示例 最后，微软强烈建议广大客户养成良好的习惯，抽空了解各类恶意软件感染案例，同时将非必要的本地 / 管理员权限调到最低。   （消息及封面来源：cnBeta）

TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序，将其BazarLoader恶意软件部署到目标系统上，这是一场针对性很强的垃圾邮件攻击。 BazarLoader（又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor）是一种隐秘的后门木马，通常用于破坏高价值的目标网络，并将对受损设备的访问权出售给其他网络罪犯。 它还被用来提供额外的有效载荷，如cobalt strike信标，帮助威胁者访问受害者网络，并最终部署危险的恶意软件，包括但不限于Ryuk勒索软件。 SophosLabs首席研究员安德鲁·布兰特（Andrew Brandt）在最近的一次活动中发现，攻击者的垃圾邮件使用了威胁性语言，还冒充一名公司经理，用来引发受害者紧迫感，攻击者要求提供有关客户投诉电子邮件收件人的更多信息。 据称，该投诉可以从微软自己的云存储（位于*.web.core.windows.net域名上）上的网站以PDF格式进行审查。 为了增加诈骗效果，这些垃圾邮件攻击的接收端被双重诱惑，被诱使使用adobeview子域安装BazarLoader后门，这进一步增加了该计划的可信度。 布兰特说：“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。” “这两个网页都托管在Microsoft的云存储中，这会给它带来一种（并不切实的）真实感，.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。” 但是，钓鱼网站上的“预览PDF”按钮不会指向PDF文档，而是打开一个带有ms appinstaller:前缀的URL。 单击按钮时，浏览器将首先显示一条警告，询问受害者是否允许该站点打开应用程序安装程序。但是，大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。 单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序（自2016年8月发布Windows 10 1607版以来的内置应用程序），以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件，该软件作为AppX应用包发布。 一旦启动，应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件，其中包含名为Security.exe的最终有效负载，它嵌套在UpdateFix子文件夹中。 有效负载下载并执行一个额外的DLL文件，该文件启动并生成一个子进程，该子进程接着生成其他子进程，最终将恶意代码注入无头的基于Chromium的Edge浏览器进程，从而结束字符串。 在受感染的设备上部署后，BazarLoader将开始收集系统信息（例如，硬盘、处理器、主板、RAM、本地网络上具有面向公众IP地址的活动主机）。 该信息被发送到C&C服务器，伪装成通过HTTPS GET或POST头信息传递的cookie。 布兰特说：“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是，现在这个方法已经被证明有用，它可能会引起更多的关注。” “安全公司和软件供应商需要有适当的保护机制来检测和阻止它，并防止攻击者滥用数字证书。” 在收到Sophos的通知后，微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲刑警组织(Europol)今日宣布逮捕了7名嫌疑人，他们以一个大型勒索软件卡特尔组织“会员(affiliates)”（合作伙伴）的身份工作，自2019年初以来帮助实施了7000多次攻击。这些嫌疑人在REvil (Sodinokibi)和GandCrab勒索软件即服务(RaaS)的部分业务中工作。 据信，REvil和GandCrab都是由同一批操作的，他们创建了赎金软件代码以提供给其他网络犯罪分子出租。 这些租赁团体将策划对公司的入侵、部署勒索软件、要求支付赎金，然后跟REvil/GandCrab的编码者分享利润。 Europol称，自2019年以来，这七名嫌疑人经手过的攻击总共要求的赎金超过了2亿欧元。 自今年2月以来，Europol表示，它一直在跟执法机构和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些会员。根据Europol的说法，逮捕行动发生在： 2月、4月、10月–三名REvil和GandCrab会员在韩国被捕； 10月–一名REvil会员在波兰被捕（因Kaseya REvil攻击而被指控）； 11月4日–两名REvil成员在罗马尼亚康斯坦察被捕； 11月4日–一名GandCrab成员在科威特被捕。 这些逮捕行动是在以美国为首的西方国家今年夏天早些时候承诺打击勒索软件团伙之后进行的。 在决定打击勒索软件运营商之前，勒索软件攻击在今年达到了顶峰，一些团体发起的攻击使行业部门瘫痪了好几天–如今年5月对Colonial Pipeline的攻击，该攻击迫使美国东海岸45%的燃料供应停止。 参与由Europol领导的打击GandCrab/REvil团伙的Bitdefender也有在9月16日为过去的REvil受害者发布了一个通用解密器。这家罗马尼亚公司还发布了针对GandCrab版本的免费解密器，所有这些都可以从NoMoreRansom门户网站下载。 2020年8月，8名GangCrab会员在白俄罗斯被捕，但该次行动并不是Europol联合调查的一部分。 GandCrab和REvil行动的简短历史 GandCrab RaaS于2018年1月首次发布广告，它最初是一个普通的团体，他们将其代码出租给网络犯罪集团，后者使用带有恶意文件附件的垃圾邮件来感染用户。 该组织在2019年初转移了目标，当时他们开始跟一小群会员合作，在针对企业组织的攻击中以管理服务提供商为目标，希望从他们可以从小型家庭用户那里提取的小额赎金要求转移到他们可以从其网络瘫痪的公司那里索取更大的赎金。 由于这种新型攻击方法开始产生更大的利润，该组织在2019年5月关闭了他们的GandCrab行动，并在一个月后即2020年6月，发布了他们的赎金软件的重塑和改进版本。 被称为REvil或Sodinokibi，这个新RaaS门户网站只跟愿意攻击大公司的会员合作。多年来，REvil RaaS及其会员跟一些相当大的攻击公司有关，如苹果、宏基、阿根廷电信等等。 根据2021年2月发表的一份IBM报告，据信REvil行动仅在2020年就获得了约1.23亿美元的收入。 然而，今年5月和7月分别针对JBS Foods和Kaseya服务器的两次攻击越过了美国政府愿意接受的底线。JBS Foods的攻击造成了美国各地肉类供应的大规模中断，而对Kaseya服务器的攻击则在7月4日假期造成了全球数以千计的IT网络瘫痪。 该组织在一周后关闭，没有任何形式的解释，该组织的领导人–一个名为未知的人似乎从地下论坛消失了。 一些REvil编码员试图在9月恢复该行动，但他们因为一个未知的第三方劫持了其Tor服务器基础设施而在一个月后关闭。 路透社和《华盛顿邮报》的报道后来显示，到7月，该组织的服务器已经被一个外国执法机构入侵并反追踪。 而当该组织在9月卷土重来时，美国网络司令部劫持了它的服务器，并且前者并不知道执法部门的行动。不过这次劫持让REvil团伙受到惊吓，这似乎成为了最后的退休，而也可能是Europol和其他执法团体正在对他们迄今为止设法确定的GandCrab/REvil会员采取行动的原因。 （消息及封面来源：cnBeta）

  一个未知初始访问代理被揭露为三个不同的攻击者提供入口点，攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。 黑莓的研究和情报团队将这个实体命名为“Zebra2104”，该组织负责为MountLocker和Phobos等勒索软件集团，以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。 据我们所知，网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制，他们为其他网络犯罪集团提供服务，包括勒索软件附属公司，通过持续进入受害者网络的后门，在不同地区和行业的众多潜在组织中立足，成功地建立了远程访问的定价模型。 黑莓研究人员在上周发表的一份技术报告中指出:“通常IAB先进入受害者的网络，然后在暗网的地下论坛上把这一访问权限卖给出价最高的买家。”“后来，中标者通常会在受害者的设备里部署勒索软件或其他经济利益相关的恶意软件，这取决于他们活动的目标。” 2021年8月，一份超过1000访问列表的分析文件在暗网地下上论坛上售卖，该文件发现,从2020年7月到2021年6月网络访问的平均费用为5400美元的,其中最有价值的信息可以提供包括企业系统域管理员权限。 这家加拿大网络安全公司的调查始于一个名为“trashborting[.]”的域名，发现时它正在传送Cobalt Strike 信标，用于把更广泛的基础设施与一些恶意垃圾邮件活动联系起来，这会引起勒索软件有效载荷的传输。有一些勒索软件于2020年9月攻击澳大利亚房地产公司和州政府部门。 最重要的是，“supercombination[.com]”，trashborting[.]另一个姐妹域名，被发现与恶意软件MountLocker和病毒Phobos有关，即使域名解析为IP地址“91.92.109[.]174”，在去年4月至11月，它也被用来托管第三个域名“mentiononecommon[.]com”并在2020年6月与StrongPity相关的攻击中作为C2服务器使用。 IAB的反复出现和广泛的攻击目标让研究人员觉得，运营商“要么有大量的人力，要么在互联网上设置了大量“陷阱”，使MountLocker、Phobos和StrongPity能够访问目标网络。 研究人员说:“这项研究中看到的恶意攻击技术和工具联结关系表明，网络犯罪集团在某些情况下的运作方式与跨国组织没有什么不同，这在某种程度上反映了一个合法商业世界。”他们建立伙伴关系和联盟来帮助推进他们的目标。如果有什么不同的话，可以肯定的是，这些威胁组织的‘商业伙伴关系’将在未来变得更加普遍。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

BlackMatter勒索软件背后的犯罪集团今天宣布计划关闭其业务，理由是来自地方当局的压力。该组织在其 “勒索软件即服 “门户后台发布的一条信息中宣布了其计划，其他犯罪集团通常在这里注册，以获得BlackMatter勒索软件的使用权。 这条消息是由vx-underground信息安全小组的一名成员获得。BlackMatter勒索软件背后的犯罪集团在其中表示，由于某些无法解决的情况，以及来自当局的压力，该项目被关闭。48小时后，整个基础设施将被关闭。 虽然该组织没有解释，但在过去两周发生了三个重大事件。其中第一个是来自微软和Gemini Advisory的报告，该报告将Darkside和BlackMatter创造者的FIN7网络犯罪集团与一家名为Bastion Secure的公共网络安全公司联系起来，据称他们通过该公司招募了不知情的合作者。 第二个事实是，安全公司EMSIsoft为BlackMatter勒索软件秘密开发了一个解密工具，该公司一直在秘密向受害者提供该工具，以避免他们支付该组织的赎金要求，使其利润受到影响。第三个是《纽约时报》本周日的一篇报道，宣布美国和俄罗斯已经开始了更紧密的合作，旨在打击基于俄罗斯的网络犯罪和勒索软件团伙等。这一点很重要，因为FIN7集团历来被认为是在俄罗斯境内运作。 FIN7最近的声明也是在今年夏天多个勒索软件行动的操作者和成员在世界各地被追捕和逮捕之后做出的。例如，在他们之前Darkside勒索软件中，FIN7集团的服务器被黑客攻击，并且加密货币资金被盗。在勒索软件团伙面临巨大压力的这段时期，今年的攻击达到了历史最高水平，一些攻击在全球造成了重大问题。这里的例子包括对Colonial Pipeline的Darkside勒索软件攻击（导致美国东海岸的燃料供应问题），对JBS食品公司的REvil攻击（破坏了整个美国的肉类供应），以及对Kaseya的REvil攻击（破坏了全球数以千计的公司）。 正如黑帽和DEF CON安全会议的创始人杰夫-莫斯今天早些时候在Twitter上所说，执法机构通常知道大多数勒索软件运营者的身份，但也知道由于俄罗斯的不合作行为，他们无法对一些团体下手，这种情况似乎正在改变。   （消息及封面来源：cnBeta）