根据CNBC透露的消息，暗网中所有跟REvil勒索软件团伙相关的网站从7月13日开始就全部神秘消失了。目前我们还尚不清楚是什么原因导致的，因为这些网站最近一直都处于极度活跃状态，而现在当用户访问相关网站时，返回的只是“找不到具有指定主机名的服务器”。

勒索软件REvil也被称为Sodinokibi，是一个由俄罗斯网络犯罪团伙运营的勒索软件。REvil 勒索病毒称得上是 GandCrab的“接班人”。GandCrab 是曾经最大的 RaaS(勒索软件即服务)运营商之一，在赚得盆满钵满后于 2019 年 6 月宣布停止更新。

随后，另一个勒索运营商买下了 GandCrab 的代码，即最早被人们称作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作为程序名称，又被称为 REvil 勒索病毒。

目前，我们还不清楚是何原因导致跟REvil勒索软件相关的暗网网站消失下线。但这一事件已经引发了安全社区内研究人员的热烈讨论，很多人认为可能是当局所采取的措施。

电子邮件安全公司Egress对美国和英国的500名IT领导者和3,000名员工进行的一项新调查显示，在过去一年中，94%的企业都经历了内部数据泄漏。

84%受访的IT领导层工作者表示，人为错误是导致严重事故的首要原因。然而，受访者更关心内部人员的恶意行为，28%的受访者表示故意恶意行为是他们最大的恐惧。尽管造成的事故最多，但人为错误在IT领导层的担心列表里依然排名垫底，只有21%的受访者表示人为错误是他们最担心的问题。不过56%的受访者认为远程/混合工作将使防止人为错误或网络钓鱼造成的数据泄漏变得更加困难，但61%的员工认为他们在家工作时造成违规的可能性与在公司并无区别甚至更小。从漏洞的原因来看，74%的企业因员工违反安全规则而遭到利用，73%的企业成为网络钓鱼攻击的受害者。

在调查员工是否会如实上报触犯了违规行为时，97%的员工表示会如实上报，这对55%要依靠员工提醒他们是否发生了安全事件的IT领导者来说是个好消息。但诚实可能并不会有回报，因为89%的事件都会对涉事员工产生消极影响。

新的研究表明，在2021年上半年，关键制造业的漏洞增加了148%，基于勒索软件的全套服务(RaaS)驱动了大部分攻击数量的增幅。Nozomi Networks的报告发现ICS-CERT的漏洞也增加了44%。制造业是最容易受到影响的行业，而能源行业也被证明是脆弱的。

Nozomi Networks联合创始人兼首席技术官Moreno Carullo说：'Colonial Pipeline、JBS和最新的Kaseya软件供应链攻击都是痛苦的教训，说明勒索软件攻击的威胁是真实的。安全专业人员必须用网络安全和可视性解决方案来武装自己，这些解决方案要纳入实时威胁情报，并使之能够以可操作的建议和计划来快速应对。了解这些犯罪组织的工作方式，并预测未来的攻击，对于他们抵御这种不幸的新常态至关重要。'

物联网安全摄像机也在显示出弱点。预计今年全球将有超过10亿台网络摄像机投入生产，不安全的物联网安全摄像机是一个日益严重的问题。该报告包括对Verkada漏洞以及Reolink相机和ThroughTek软件的安全漏洞的分析。

南亚地区一直以来都是APT 组织攻击活动的活跃区域之一。自2013年5月国外安全公司Norman披露 Hangover 行动（即摩诃草组织）以来，先后出现了多个不同命名的APT组织在该地域持续性的活跃，并且延伸出错综复杂的关联性，包括摩诃草(APT-C-09、HangOver、Patchwork、白象)、蔓灵花(APT-C-08、BITTE)、肚脑虫(APT-C-35、Donot)、魔罗桫(Confucius)、响尾蛇(Sidewinder、APT-C-17) 等。

造成归属问题的主要因素是上述 APT 活动大多使用非特定的攻击载荷，各组织在使用的攻击武器方面也有不同程度的重合。脚本化和多种语言开发的载荷也往往干扰着归属分析判断，包括使用.Net、Delphi、AutoIt、Python、Powershell、Go等。但从历史攻击活动来看，其也出现了一些共性：

同时具备攻击Windows和Android平台能力；

巴基斯坦是主要的攻击目标，部分组织也会攻击中国境内；

政府、军事目标是其攻击的主要目标，并且投放的诱饵文档大多也围绕该类热点新闻。

长期以来，美国黑客组织持续对我国实施网络攻击。通过监测分析，目前已发现多个美国黑客组织以我国党政机关、事业单位、科研院所等重要敏感单位的网站和相关主机为主要目标，实施漏洞扫描攻击、暴力破解，DDoS攻击等攻击行为。本文选择了3个较为典型的美国黑客组织进行研究，分析其攻击行为特征如下：

2020年10月发现的黑客组织A控制了位于美国的1065台主机对中国2426台目标主机实施攻击，攻击对象主要为党政机关和企事业单位，如某汽车动力总成公司、某钢铁股份有限公司以及部分高校等。攻击手段主要为SSH暴力破解、SNMP暴力破解等。

2020年10月发现的黑客组织B控制了位于美国的24台主机对中国993台目标主机实施攻击，攻击对象主要为高校，涉及山西、广西、广东等省份；也有部分党政机关，如某省科技委员会、某市商务局等。攻击手段主要包括SNMP暴力破解、PHP代码执行漏洞、Struts2远程命令执行漏洞等暴力破解和Web扫描攻击。

2020年8月发现的黑客组织C控制了位于美国的5台主机对中国119台目标主机实施攻击，攻击对象主要为高校，涉及广东、北京等地。攻击手段主要为PHP漏洞攻击、SQL注入等Web类攻击。 

PrintNightmare漏洞是近期企业面临的主要安全风险，但让微软感到尴尬的是，上周紧急推出的补丁在社交媒体上被安全专家质疑，认为该补丁并不完善，可被黑客绕过。虽然微软再次发布声明声称补丁有效并且敦促所有企业用户尽快更新，但近日又有消息传出，说微软的补丁会导致部分打印机出现问题。

PrintNightmare漏洞包含CVE-2021-1675 和CVE-2021-34527，其中一个是远程代码执行漏洞，另一个是本地提权漏洞。一个严峻问题是，在微软发布补丁之前，漏洞利用代码就已经在公共领域开始传播。

微软指出，攻击者可以利用该漏洞以系统权限编写他们想要的任何代码。从那里，他们可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。但一些客户安装了补丁程序后，某些打印机出现了问题。

一位微软客户透露：“安装此更新后，某些打印机可能会遇到问题。大多数受影响的打印机是通过USB连接的收据或标签打印机，说明这一情况与CVE-2021-34527或CVE-2021-1675无关。” 

近日，安全研究人员披露了惠普打印机驱动程序中存在的一个提权漏洞的技术细节，该驱动程序也被三星与施乐公司所使用。该漏洞影响了十六年间众多版本的驱动程序，可能波及上亿台 Windows 计算机。攻击者可以利用该漏洞执行绕过安全防护软件、安装恶意软件、查看/修改/加密/删除数据、创建后门账户等操作。

SentinelOne 的研究人员表示，该漏洞(CVE-2021-3438)已经在 Windows 系统中潜伏了 16 年之久，直到今年才被发现。它的 CVSS 评分为 8.8 分，是一个高危漏洞。

该漏洞存在与驱动程序中控制输入/输出(IOCTL)的函数，在接收数据时没有进行验证。使得 strncpy在复制字符串时长度可以被用户控制。这就使得攻击者可以溢出驱动程序的缓冲区。

因此，攻击者可以利用该漏洞提权到 SYSTEM 级别，从而可以在内核模式下执行代码。

存在漏洞的驱动程序已在数百万台计算机中运行了数年。基于打印机的攻击向量是犯罪分子喜欢的完美工具，因为其驱动程序几乎在所有 Windows 计算机中都存在，而且会自动启动。