美国第九巡回上诉法院周三确认了 Carsten Igor Rosenow 于 2019 年因在菲律宾对儿童进行性剥削而被定罪和判刑——在此过程中，法院可能在互联网隐私法中炸开了一个巨大的漏洞。

尽管第四修正案保护免受不合理的搜查和扣押，但法院似乎已经允许美国政府特工复制任何人的互联网账户数据，而无需合理怀疑有不当行为。加州大学伯克利分校法学院教授 Orin Kerr 沮丧地注意到这一决定。

“天哪：虽然简报中几乎没有提到它，但 CA9 只是在一个先例中用一句话表示，互联网内容的保存不是扣押，”他在Twitter 帖子中写道。“而且 TOS [服务条款] 消除了所有互联网隐私。”

有争议的案件，美国诉 Rosenow，始于 2014 年 10 月，当时在线汇款服务 Xoom 提醒雅虎！涉及购买和出售儿童性虐待材料的多个雅虎帐户。被定罪的重罪犯曾是生物技术公司 Illumina 的首席营销官。

雅虎！调查后，向国家失踪和受剥削儿童中心 (NCMEC) 报告了调查结果，随后涉及联邦调查局 (FBI) 和国土安全部 (DHS)。

执法部门向雅虎提出了保存请求！保存 2014 年 10 月、2014 年 12 月和 2015 年 6 月的相关用户账户数据。其中包括涉及 Rosenow 的三笔金融交易。

雅虎的调查！执法继续进行，最终于 2017 年 6 月 21 日在圣地亚哥机场逮捕了 Rosenow，同时执行了对被告、他的行李和住所的联邦搜查令。联邦调查局没收了数字图像和视频文件作为证据。Rosenow 在 2020 年因儿童色情罪被判处 25 年监禁。

代表 Rosenow 的律师试图通过声称其委托人的第四修正案权利受到侵犯，来驳回从逮捕中获得的证据。他们认为 Rosenow 有权保护他的数字数据。他们说，政府的保全请求（几年前发出）和没有搜查令提交的传票违反了第四修正案对不合理搜查和扣押的保护。

上诉小组驳回了辩方的论点，并维持了下级法院的定罪和量刑。

第九巡回法院的裁决[PDF] 表示，政府的数据保存请求并未干扰被告的权利，因为数据被复制并且被告没有被剥夺 - 没有扣押。

“还值得注意的是，Rosenow 同意 ESP [电子服务提供商] 根据 ESP 的使用条款尊重执法部门的保存请求，”该决定解释说。“因此，我们同意地方法院的观点，即这些要求并不构成违反第四修正案的不合理扣押。”

因此，由于被告没有失去对他数据的访问权限——复制不是扣押——并且同意了免除隐私的服务条款，上诉法院认为如何获得针对 Rosenow 的证据没有问题。

有些人做噩梦
克尔将这一决定描述为法理学的噩梦场景——一个在诉讼过程中被掩盖的主要问题，在没有任何法律推理或支持的情况下做出决定。

“从字面上看，就是这样，”他写道，该决定简洁地驳回了第四修正案的担忧。“没有分析。没有引用任何东西。没有讨论。只有一句话。所以现在，根据第 9 巡回法院的法律，政府可以自由命令每个人的整个互联网帐户复制并持有——完全没有任何理由。在任何时候， 没原因。”

Kerr 最近在去年发表在圣路易斯大学法律杂志上的一篇题为“互联网内容保存的第四修正案限制”的文章中探讨了互联网数据保存令可以绕过第四修正案要求的方式。

其中，他描述了一个假设场景，该场景不仅与 Rosenow 案例相关，而且与任何通过服务提供商存储数据的人相关。

想象一下，你是一名 FBI 特工。有一天，您收到一条匿名提示，说某个特定的人犯了罪。你上网搜索这个人的名字，你的搜索显示，和大多数美国成年人一样，这个人有一个 Facebook 帐户。此时，您只有一个未经验证的提示。你缺乏合理的怀疑，更不用说可能的原因，相信犯罪发生了。而且您没有特别的理由认为 Facebook 帐户参与其中。但是想象一下，联邦法律现在赋予您保留和搁置嫌疑人的整个 Facebook 帐户的权力——包括每条私人信息和每张保存的照片——以防万一您以后有可能的原因需要访问它。

关键是这不是一个假设的场景，而是“ 18 US Code § 2703 - 要求披露客户通信或记录”的实际工作方式。而且这种情况经常发生：根据 Kerr 的说法，2019 年，为响应 § 2703(f) 的请求，保存了超过 310,000 个互联网帐户。

这里的问题是政府是否可以通过将不受支持的数据保存要求（实际上是扣押）委托给私营部门来绕过第四修正案的义务。

“当政府要求保存并且提供者遵守时，提供者充当政府的代理人并成为国家行为者，”克尔在他的论文中写道。“复制和搁置互联网帐户内容的过程是第四修正案的扣押，因为它干扰了用户控制其私人通信的权利。”

换句话说，当局在扣押您的数据或指示第三方代替他们这样做之前应该有合理的理由，就像扣押邮寄包裹一样。但对于第九巡回法院，以及现在在其管辖范围内的法院来说，情况似乎不再如此。

法院认为接受服务条款会取消隐私权的推理引起了其他法律专家的关注。

在通过电子邮件发送给The Register的一份声明中，电子前沿基金会的监督诉讼主任詹妮弗·林奇表示，第九巡回法院关于 Rosenow 第四修正案对其 ISP 服务条款的权利的讨论显然是错误的。

“最高法院和所有其他已解决该问题的法院已明确表示，您与第三方存储的数字内容受到第四修正案的保护。存储和传输我们的内容和通信的第三方都有类似的服务条款雅虎的。”

“这些没有人阅读的要么接受要么放弃的条款旨在保护公司的商业利益——它们不能损害你的第四修正案权利。如果他们这样做了，比如Carpenter和US v. Warshak（2010 年第六巡回法院）发现第四修正案保护电子邮件的案例）将没有牙齿，这是不对的。”

林奇表示，EFF 在之前的几个法庭案件中已经提出了这个问题，并希望在下个月 5 月的美国诉 Bohannon案件中在第九巡回法院之前解决这个问题。

法国数据保护机构 (CNIL) 因违反 GDPR（通用数据保护条例）的三条条款，对医疗软件供应商 Dedalus Biology 处以 150 万欧元的罚款。

Dedalus Biology 为该国数千个医学实验室提供服务，罚款是为了暴露来自 28 个实验室的 491,939 名患者的敏感细节。

该数据库在网上泄露并透露了以下患者详细信息：

全名
社会安全号码
开药医生姓名
考试日期
医疗信息，例如艾滋病毒状况、癌症、遗传疾病、怀孕、治疗等。
遗传信息（在某些情况下）
这些信息已在互联网上广泛共享，因此 Dedalus Biology 的客户面临着被社会工程、网络钓鱼、诈骗甚至勒索的风险。

数据库泄漏的最初迹象早在 2020 年 3 月就出现了，ANSSI 于 2020 年 11 月向其中一个暴露的实验室发出了相关警报。

2021 年 2 月，法国杂志 ZATAZ在暗网上发现了特定数据集的销售情况，并确认该信息是有效的。

在暗网 (ZATAZ)上出售的泄露数据
制裁细节
Dedalus Biology 违反了 GDPR 法案第 29 条，即未遵守控制者的指示。更具体地说，在从不同供应商的软件迁移过程中，应两个医学实验室的要求，Dedalus 提取了比要求更多的信息。

第二个违规行为涉及 GDPR 第 32 条，该条规定数据处理者对未能保护信息负责。CNIL 的调查发现了以下相关故障：

缺乏数据迁移操作的具体程序；
存储在有问题的服务器上的个人数据缺乏加密；
迁移到其他软件后没有自动删除数据；
缺乏互联网访问服务器公共区域所需的身份验证；
使用服务器专用区域上多个员工之间共享的用户帐户；
服务器上没有监督程序和安全警报升级。
违反的第三条 GDPR 条款是第 28 条，其中涵盖了代表控制者（实验室）为数据处理提供正式合同或法律行为的义务。

对于上述违规行为，CNIL 决定处以 150 万欧元（158 万美元）的罚款，按公司年收入的 10% 计算。

尽管基于与 CNIL 调查人员合作的意愿，Dedalus 希望受到更轻的处罚，但数据保护办公室指出，该公司没有采取任何措施来限制在线泄露数据的传播，因此没有认定缓解因素的依据。

ZZQIDC已联系 Dedalus Biology 就 CNIL 的决定发表评论，但在本文发表时我们尚未收到该公司的消息。

一个类似的案例
同时，CNIL 目前正在调查另一起由保险提供商L'Assurance Maladie报告的泄露 510,000 名法国人的敏感医疗保险信息的案件。

根据该公司公开的细节，使用其在线信息门户的 19 名医生成为网络钓鱼活动的受害者，这实质上使黑客能够访问敏感的患者信息。

由于这一违规行为，全名、出生日期、性别、社会安全号码以及与保险权利相关的数据都受到了损害。

日本 CERT 发布了新版本的 EmoCheck 实用程序，以检测本月开始感染用户的新 64 位版本的 Emotet 恶意软件。

Emotet 是通过电子邮件传播的最活跃的恶意软件之一，使用带有恶意附件的网络钓鱼电子邮件，包括 Word/Excel 文档、 Windows 快捷方式、ISO 文件和受密码保护的 zip 文件。

网络钓鱼电子邮件使用创造性的诱饵来诱骗用户打开附件，包括 回复链电子邮件、发货通知、税务文件、会计报告，甚至 节日派对邀请函。

一旦设备被感染，Emotet 将窃取用户的电子邮件，用于未来的回复链网络钓鱼攻击，并在计算机上下载更多恶意软件有效负载。

由于进一步的恶意软件通常会导致数据盗窃和勒索软件攻击，因此在造成进一步损害之前快速检测 Emotet 恶意软件感染至关重要。

EmoCheck 更新为 64 位版本
2020 年，日本 CERT（计算机应急响应小组）发布了一款名为 EmoCheck 的免费工具，用于扫描计算机以查找 Emotet 感染。

如果检测到一个，它将显示恶意软件感染的完整路径，以便将其删除。

然而，本月早些时候，Emotet 帮派切换到 64 位版本的加载程序和窃取程序，使现有检测变得不那么有用。此外，使用此开关，EmoCheck 工具无法再检测到新的 64 位 Emotet 版本。

本周，JPCERT 发布了 EmoCheck 2.2 以支持新的 64 位版本，现在可以检测它们，如下图所示。

要检查您是否感染了 Emotet，您可以 从日本 CERT 的 GitHub 存储库下载 EmoCheck 实用程序。

下载后，双击 emocheck_x64.exe（64 位版本）或 emocheck_x86.exe（32 位版本），具体取决于您下载的内容

EmoCheck 将扫描 Emotet 木马，如果检测到恶意软件，则显示它正在运行的进程 ID 和恶意软件 DLL 的位置。

Emotet 当前安装在 C:\Users\[username]\AppData\Local 下的随机文件夹中。虽然 Emotet 恶意软件是一个 DLL，但它没有 DLL 扩展名，而是一个随机的三字母扩展名，如 .bbo 或 .qvp。

下面是已安装 Emotet 恶意软件感染的示例。

EmoCheck 还会在包含检测到的信息的程序所在的文件夹中创建一个日志，以便您根据需要引用它。

如果您运行 EmoCheck 并发现您被感染，您应该立即打开任务管理器并终止列出的进程，通常是 regsvr32.exe。

然后，您应该使用受信任的防病毒软件扫描您的计算机，以确保您的设备上尚未安装其他恶意软件。

这个工具对 Windows 管理员来说很方便，他们可以在登录时执行它来检测他们网络上的 Emotet 感染。

根据用户报告提到连接到消息平台的问题以及尽管仍然连接但无法发送消息，WhatsApp 已关闭。

从大约一小时前开始，用户一直在描述他们如何无法再连接到 WhatsApp 的服务器，应用程序显示连续的“正在连接...”消息。

其他人则表示，即使他们的应用程序仍连接到消息传递平台的服务器，他们也无法再发送消息。

在ZZQIDC的测试中，桌面和移动应用程序仍在运行，这表明中断已本地化，不会影响公司在全球的服务。

停机站点 DownDetector 显示了数千个用户报告，这些报告在美国东部标准时间下午 4:15 左右开始流式传输，受影响的 WhatsApp 用户报告了来自欧洲、北美和南美以及亚洲的相同问题。

该公司已在 Twitter 上发表声明，承认停电并表示其工程师正在努力解决持续存在的问题。

“你目前在使用 WhatsApp 时可能会遇到一些问题，”WhatsApp今天早些时候在推特上写道。

“我们知道并正在努力让事情再次顺利进行。我们会及时通知您，同时感谢您的耐心等待。”

10 月初，由于 BGP 路由问题，WhatsApp 与 Facebook 和 Instagram 一起经历了长达五个小时的全球中断。

Facebook后来透露，此次中断是由于对其一些骨干路由器进行了错误的配置更改，导致所有服务停止。

更新：根据 WhatsApp 发布的更新，连接问题现在应该得到修复，用户可以再次回到他们的聊天中。

印度，2022 年 4 月 28 日——根据 International 的数据，2021 年，印度国内 IT 和商业服务市场价值 141.5 亿美元，同比增长 7.2%，而 2020 年为 5.3%。数据公司 (IDC) 的全球半年度服务跟踪器。增长率的提高是由于该国企业数字化转型计划的增加。

“随着企业继续增加 IT 投资以提高业务运营的弹性和效率并增强客户体验，印度企业的数字化转型计划在 2021 年继续激增。云、人工智能/机器学习和安全仍然是优先投资领域，由于采用混合工作模式，企业也增加了对工作场所转型项目的投资。随着经济逐渐从 COVID-19 大流行的影响中复苏，由于大流行导致被压抑的需求以及某些地区可自由支配的 IT 支出增加，未来几年的 IT 服务支出将会增加IDC 印度 IT 服务高级市场分析师Harish Krishnakumar说。

在 IT 和商业服务市场中，IT 服务市场贡献了 77.6%，2021 年增长了 7.9%，而 2020 年的增长率为 5.8%。此外，根据 IDC，预计 IT 和商业服务市场将出现强劲增长在未来几年，随着企业继续在云、人工智能/机器学习、安全、应用程序现代化等领域进行投资。IT 和商业服务市场预计在 2021-2026 年间以 8.9% 的复合年增长率增长，达到 21.67 美元到 2026 年底达到 10 亿。

IDC 将 IT 和商业服务市场分为三个主要市场——面向项目的、托管服务和支持服务。2021 年，以项目为导向的服务增长率最高，为 7.9%，其次是托管服务，增长率为 6.9%，支持服务增长率为 6.2%。

随着许多企业继续越来越多地采用云和托管服务，托管应用程序管理和托管基础设施服务继续见证了更高的增长。由于应用程序现代化和采用云和 AI/ML 等新兴技术等举措，对系统集成服务的需求也有所增加。

“虽然 2020 年推动企业专注于生存和业务连续性战略，但印度企业在 2021 年继续投资 IT 服务，因为他们加快了数字化转型之旅。另一方面，IT 服务提供商继续在数字技术上建立能力通过以解决方案/平台为中心的方法。云和安全等领域随着自动化和人工智能继续发展势头。我们认为这种趋势将继续，因为印度企业在朝着成为未来企业的目标前进时将仰望他们的服务提供商， “ IDC 印度企业解决方案和 ICT 实践研究总监Sharath Srinivasamurthy说。

*所有市场规模和增长百分比数字均以不变货币计算。

新发现的名为 Bumblebee 的恶意软件加载程序可能是 Conti 集团的最新开发，旨在取代用于传递勒索软件有效载荷的 BazarLoader 后门。

研究人员表示，3 月份网络钓鱼活动中 Bumblebee 的出现恰逢使用 BazarLoader 传递文件加密恶意软件的下降。

BazarLoader 是 TrickBot 僵尸网络开发人员的工作，他们提供对受害者网络的访问以进行勒索软件攻击。TrickBot 帮派现在为 Conti 集团工作。

在 3 月份的一份关于被追踪为“Exotic Lily”的威胁参与者的报告中，该威胁参与者为 Conti 和 Diavol 勒索软件 操作提供了初始访问权限，谷歌的威胁分析小组表示，该 参与者开始投放 Bumblebee，而不是常规的 BazarLoader 恶意软件，以提供 Cobalt Strike .

大黄蜂送货方式
Cyber​​eason 的首席威胁猎手和恶意软件逆向工程师Eli Salem表示，Bumblebee 的部署技术与 BazarLoader 和 IcedID 的部署技术相同，两者都在过去部署 Conti 勒索软件时见过。

Proofpoint 证实了 Salem 的发现，称他们已经观察到网络钓鱼活动，其中“Bumblebee [被] 多个犯罪软件威胁参与者使用，之前观察到提供 BazaLoader 和 IcedID。”

“使用 Bumblebee 的威胁参与者与与后续勒索软件活动相关联的恶意软件有效负载相关联” - Proofpoint

该公司还指出，“一些通常在恶意软件活动中使用 BazaLoader 的威胁参与者已经过渡到 Bumblebee”，以丢弃 shellcode 以及专为红队安全评估而设计的 Cobalt Strike、Sliver 和 Meterpreter 框架。

同时，自 2 月以来，Proofpoint 的数据中一直缺少 BazaLoader。

在今天的一份报告中，Proofpoint 说它观察到多个电子邮件活动在包含快捷方式和 DLL 文件的 ISO 附件中分发 Bumblebee。

一项活动利用了一个 DocuSign 文档诱饵，该诱饵导致一个 ZIP 存档，其中包含托管在 Microsoft 的 OneDrive 云存储服务上的恶意 ISO 容器。

Proofpoint 说，研究人员表示，恶意电子邮件还包括一个 HTML 附件，该附件作为未付发票的电子邮件出现。

HTML 文件中嵌入的 URL 使用了依赖于 Prometheus TDS （流量分发服务）的重定向服务，该服务根据受害者的时区和 cookie 过滤下载。最终目的地也是 OneDrive 上托管的恶意 ISO。

Proofpoint 研究人员高度自信地将这次活动归咎于网络犯罪组织 TA579。自 2021 年 8 月以来，Proofpoint 一直在跟踪 TA579。该演员在过去的活动中经常提供 BazaLoader 和 IcedID

3 月，Proofpoint 观察到了一场通过目标网站上的联系表格传递 Bumblebee 的活动。这些消息声称该网站使用了被盗图像并包含一个链接，该链接最终传递了一个包含恶意软件的 ISO 文件。

Proofpoint 将此活动归因于该公司自 2020 年 5 月以来跟踪为 TA578 的另一个威胁参与者，并使用电子邮件活动来传播 Ursnif、IcedID、KPOT Stealer、Buer Loader 和 BazaLoader 等恶意软件以及 Cobalt Strike。

研究人员在 4 月份发现了另一场活动，该活动劫持了电子邮件线程，以将 Bumblebee 恶意软件加载程序发送到带有存档 ISO 附件的目标回复中。

尽管尚未找到不可否认的证据，但 Proofpoint 认为，部署 Bumblebee 的威胁参与者是与勒索软件参与者合作的初始网络访问代理。

高度复杂的恶意软件
研究人员一致认为，Bumblebee 是一种“新的、高度复杂的恶意软件加载程序”，它集成了错综复杂的规避技术和反分析技巧，其中包括复杂的反虚拟化方法。

在周四的 技术分析 中，Eli Salem 表明 Bumblebee 的作者使用了来自公开可用的 al-khaser PoC“恶意软件”应用程序的整个反分析代码。

Salem 的代码检查显示，该恶意软件搜索多种工具进行动态和静态分析，它试图通过查找其进程、检查注册表项和文件路径来检测“任何类型的虚拟化环境”。

研究人员指出，他在 Bumblebee 的核心加载程序组件中发现的最有趣的东西之一是存在两个名为 RapportGP.dll 的 32/64 位 DLL 文件，这是 Trusteer 的 Rapport 安全软件使用的名称，用于保护凭据等敏感数据。

在其单独的技术分析中，Proofpoint 发现 Bumblebee 加载程序支持以下命令：

石：shellcode注入
Dij：在其他进程的内存中注入DLL
Dex：下载可执行文件
sdl：卸载加载器
Ins：通过计划任务为加载 Bumblebee 的 Visual Basic 脚本启用持久性
Bumblebee 使用 TrickBot 代码
网络安全公司 Proofpoint 和 Cyber​​eason 的恶意软件研究人员对 Bumblebee 进行了分析，并注意到与

TrickBot 恶意软件在代码、交付方法和丢弃的有效负载方面的相似之处。

在看到两个恶意软件都依赖于相同的挂钩安装机制后，Salem 在 Bumblebee 和 TrickBot 之间建立了连接。

相似之处更进一步，因为 Bumblebee 对 RapportGP.DLL 使用与 TrickBot 相同的规避技术用于其 web-inject 模块。

此外，研究人员发现，这两个恶意软件都试图使用 LoadLibrary 并获取它们想要挂钩的函数的地址。

Salem 说，虽然没有足够的证据表明 Bumblebee 和 TrickBot 的作者相同，但可以假设 Bumblebee 的开发人员拥有 TrickBot 的 web-inject 模块的源代码。

快速恶意软件开发
Bumblebee 正在积极开发中，每次更新都会获得新功能。最近观察到的一个 Proofpoint 是从 4 月 19 日开始的，它支持多个命令和控制 (C2) 服务器

然而，Proofpoint 表示，最重要的发展是通过 RC4 流密码为网络通信添加了一个加密层，它使用硬编码的密钥来加密请求和解密来自 C2 的响应。

另一项修改出现在 4 月 22 日，当时研究人员注意到 Bumblebee 集成了一个线程，该线程可以根据硬编码列表检查恶意软件分析师使用的常用工具。

来源：证明点
Proofpoint 认为，Bumblebee 是一种多功能工具，可用于初始访问受害网络，以便稍后部署其他有效载荷，例如勒索软件。

Proofpoint 威胁研究和检测副总裁 Sherrod DeGrippo 表示：“该恶意软件非常复杂，并表明正在持续积极地开发，引入新的逃避检测方法。”

Cyber​​eason 的 Eli Salem 和 Proofpoint的报告 [ 1 , 2 ] 相隔一天，其中包括对 Bumblebee 恶意软件最重要方面的详细技术分析。

莫斯科地区拥有超过 70% 的国内数据中心市场，其可用机架空间已用完。根据 iKS-Consulting 的统计，如果 2021 年第一季度有 2860 个空位，那么本季度只有 800 个，尽管租用座位的价格上涨了 25%。新数据中心的建设由于设备供应的物流链中断而变得复杂，而且俄罗斯的类似设备通常不符合质量要求。

据生意人报称，剩余的机架空间数量是自 2018 年以来的最低水平。该公司表示，之前宣布的许多建设数据中心的大型项目已经暂停。此类数据由专门针对俄罗斯莫斯科地区商业数据中心市场的 iKS-Consulting 报告提供，该市场占俄罗斯托管服务市场的 72%，可将客户自己的电子设备放置在特殊设备上数据中心运营商的站点。

据研究人员称，托管服务的平均价格平均上涨了 25%，根据一些预测，到 6 月将再增长 25-30%。2021 年，莫斯科地区的数据中心市场总额估计约为 200 亿卢布。包括大约 37,000 个机架，以及全俄罗斯市场 - 48,500 个机架。最大的参与者包括 Rostelecom、DataPro、IXcellerate、Selectel 和 MTS。

在许多方面，价格和需求的增长是由于许多公司鉴于最近发生的事件希望将自己的能力从外国数据中心转移到俄罗斯。值得注意的是，据《生意人报》报道，国外云服务离开国内，刺激了本地云平台的胃口，价格上涨了60-80%。

众所周知，由于施耐德电气、Stulc、Vertiv等制造商与公司之间的合作停止，建设新旧数据中心的设备短缺情况也更加严重。许多亚洲工厂在西方许可证下运营，因此他们被迫加入制裁，而俄罗斯制造商并不总是准备好提供有价值的替代品。

根据莫斯科数据中心网络 3data 的主管 Ilya Khal 的说法，如果 UPS 的情况“还不错”，那么“现在最糟糕的是制冷设备——冷却器和氟利昂系统。市场上数量极少，品质上落后于国外。与此同时，交货期延长了六到九个月。

一种或另一种方式，记录了对国内解决方案的需求。据生产气候控制及相关设备的 Refcool 公司称，数据中心市场与去年相比增长了四倍，到 2022 年底可以增长 10 倍，尽管该公司已经提价了25-30%。

奥斯汀皮伊州立大学 (APSU) 昨天证实，它是勒索软件攻击的受害者。

这所位于田纳西州克拉克斯维尔的大学建议学生、教职员工和教职员工立即断开他们的计算机和设备与大学网络的连接，以防万一。

APSU 随后发布的推文证实，攻击正在被控制，所有员工都应该像往常一样报告。

“勒索软件”，“勒索软件”， 跑到某个地方
4 月 27 日，星期三，奥斯汀皮伊州立大学 (APSU) 通过其官方 Twitter 帐户确认受到网络攻击。

APSU 成立于 1927 年，是一所位于田纳西州克拉克斯维尔的美国公立大学，其著名校友包括真人秀健身教练鲍勃·哈珀、前 NFL 球员邦妮·斯隆以及现任肯塔基州司法和公共安全内阁部长玛丽阁下C. 贵族。

“我们受到了勒索软件 [原文如此] 攻击。如果您的计算机连接到 APSU 网络，请立即断开连接，”该大学昨天在推特上写道。

APSU 周三披露了勒索软件攻击 （推特）
在发布这些推文后的几个小时内，APSU 再次保证网络攻击正在被遏制，并且该大学的学习管理系统 (LMS) D2L 已在 elearn.apsu.edu在线备份。

此外，学校确认今天（4 月 28 日）开放，并建议“所有员工正常报告”，并查看他们的 APSU 电子邮件收件箱以获取进一步说明。

尽管如此，一些用户仍在继续报告 D2L 门户的问题。

“PSA：这不是提醒教职员工和学生注意违规行为的方式，” IT 顾问 Adam Parsons说。

“我希望 Twitter 不是你通知学生和教师的唯一方式，”推文说另一位用户 Dan King

一些人还对该机构的事件响应方法持怀疑态度 [ 1 , 2 ]。

但是，在主动勒索软件攻击期间，电子邮件和 IT 系统通常会被关闭——通常是系统管理员自愿关闭，试图控制网络攻击造成的损害。

学校在推文和网页中使用的“勒索软件”的不同拼写——“勒索软件”和“勒索软件”，也引起了相当多的嘲笑 [ 1 , 2 ]。

大学网站页面 (APSU)上的勒索软件警报
高等教育是勒索软件组织继续攻击的另一个领域。

此前，包括斯坦福大学医学院、加州大学霍华德分校和英国 桑德兰分校在内的知名机构都成为勒索软件攻击的受害者，其中一些攻击导致数据被盗、系统中断和课程取消。

袭击 APSU 的威胁参与者的下落以及赎金要求的细节尚不清楚。

BleepingComputer 已就具体问题联系了 APSU 的官员，我们正在等待他们的回复。

根据五眼联盟国家网络安全和执法机构的联合咨询，Log4j、Microsoft Exchange 和 Atlassian 的工作空间协作软件中的安全漏洞是 2021 年“恶意网络参与者”最常利用的漏洞之一。

值得注意的是，名单上的 15 个漏洞中有 11 个在 2021 年被披露，因为前几年的名单经常发现不法分子利用了多年来已经有补丁可用的旧漏洞。

当然，美国网络安全和基础设施安全局 (CISA) 及其朋友指出，恶意网络行为者并没有停止尝试利用旧漏洞 - 但认为这些努力正在发生的“程度”比过去要小。

据美国、澳大利亚、加拿大、新西兰和英国网络安全当局称，2021 年不良行为者“积极针对新披露的关键软件漏洞” 。

Log4j 漏洞——被跟踪为 CVE-2021-44228，也称为 Log4Shell——位居榜首。这并不意味着它是其中被利用最多的——该列表不是那种意义上的排名——但它是联合公告中详述的第一个错误。

全世界的安全团队无疑都记得，这个漏洞是在 12 月中旬发现的，并影响了 Apache 广泛使用的开源日志框架。CISA 主任 Jen Easterly 称这是她职业生涯中见过 的“最严重”的漏洞。

远程执行代码漏洞允许攻击者提交未经代码验证的特制请求，然后控制受感染的系统。然后，犯罪分子可以以惊人的速度窃取数据、部署勒索软件或进行其他邪恶活动。

据网络安全服务提供商 Qualys 称，在 2021 年 12 月 Log4j 漏洞披露后的 72 小时内，进行了近100 万次利用尝试。两个月后，30% 的 Log4j 实例显然仍然容易受到攻击。

就在上个月，网络安全公司 Sophos警告称，VMware 的虚拟桌面和应用程序平台仍然是 Log4j 攻击的热门目标——其中许多攻击旨在将加密挖掘恶意软件投放到受感染的机器上。

安全公司 LookGlass 本周发布的数据表明，可通过 Log4j 漏洞利用的系统数量有所增加。根据与The Register共享的数据，2 月初，该公司追踪了大约 55,000 项潜在易受攻击的资产。但是，Log4j 相关产品的“当前集合”表明大约 92,000 项资产仍然存在潜在漏洞。

Microsoft Exchange 错误
列表中的下一组漏洞影响 Microsoft Exchange 电子邮件服务器，统称为ProxyLogon（CVE-2021-26855、CVE-2021-26858、CVE-2021-26857 和 CVE-2021-27065）和ProxyShell（CVE- 2021-34523、CVE-2021-34473 和 CVE-2021-31207）。结合起来，这些缺陷允许不法分子获得对服务器上的凭据、文件和邮箱的持久访问权限，并可能危及整个网络的信任和身份。

尽管微软在一年前修补了这些漏洞，但并非所有组织都更新了他们的 Exchange 电子邮件服务器——因此这些漏洞仍然被证明对骗子非常有效。

本月早些时候，数据安全供应商 Varonis Systems透露，Hive 勒索软件集团的附属机构正在利用这些漏洞来加密和泄露数据，并威胁要在不支付赎金的情况下公开披露信息。

早在 2020 年发现的列表中还有一个单独的 Microsoft Exchange Server RCE 漏洞 (CVE-2020-0688)，与 ProxyLogon 或 ProxyShell 无关。

Atlassian，但要到 2021 年
另一个被利用最多的漏洞，被跟踪为 CVE-2021-26084，影响Atlassian Confluence，并允许未经身份验证的用户在易受攻击的系统上执行恶意代码。

“在 [概念证明] 在其披露后的一周内发布后，该漏洞迅速成为最常被利用的漏洞之一，”联合咨询声明称。“在 2021 年 9 月观察到尝试大规模利用此漏洞。”

读者不应将 Atlassian 缺陷与最近导致两周中断并删除约 400 名客户数据的错误脚本混淆。

从过去的错误中学习？
虽然联合公告没有提供关于列表中其他六个最常被利用的漏洞的详细信息，但它确实包括一个 VMware vSphere RCE 漏洞 (CVE-2021-21972) 和一个 Zoho ManageEngine ADSelfService Plus RCE 漏洞 (CVE-2021 -40539) 在阵容中。

根据安全警报，最后三个列出的漏洞在 2020 年也“经常”被利用。这些是 Microsoft Netlogon 远程协议中的特权提升漏洞 (CVE2020-1472)、Fortinet FortiOS 和 FortiProxy 中的路径遍历漏洞 (CVE-2018-13379) 以及 Pulse Secure 中的任意文件读取漏洞 (CVE-2019-11510) .

“他们的持续利用表明，许多组织未能及时修补软件，并且仍然容易受到恶意网络攻击者的攻击，”安全官员指出。

现在准备避免在明年最常被利用的列表中找到您的系统还为时不晚：尽早打补丁，经常打补丁。