SolarWinds幕后黑客再上线，微软客户支持工具中招

robots

SolarWinds幕后黑客再上线，微软客户支持工具中招

近日，微软自曝称由于一名微软客服人员的电脑被入侵，导致部分客户支持工具被黑客组织Nobelium访问。目前，黑客利用从工具中收集到的信息，开始对特定微软客户发起 “高针对性“的攻击。

至于Nobelium黑客组织系何方神圣？其实他们就是史上影响最广、最复杂SolarWinds供应链攻击事件背后的幕后元凶。针对此次攻击行动，微软表示Nobelium组织一直在进行密码喷洒和暴力攻击，以获取对目标公司网络的访问权限，且针对微软的攻击，还只是Nobelium组织入侵活动中的一部分。

在Nobelium组织这场目标清晰的攻击活动中，IT 公司占比57%、政府占比20%，非政府组织和智库以及金融服务的比例较小。同时微软方面还表示，虽然Nobelium组织大多数的攻击并没有成功，但确认已被攻破的实体有三个。足可见此波威胁，需要各大攻击机构保持警惕。

至于Nobelium 黑客组织，除了SolarWinds供应链攻击事件名声在外，APT29、Cozy Bear 或者是The Dukes，也是该黑客组织的称号，包括Microsoft、FireEye、Cisco、Malwarebytes、Mimecast以及各种美国政府机构，都曾遭遇该组织的攻击威胁。

全球设备数据惨遭远程清理，WD My Book NAS发生了啥？

人在家中坐，数据丢光光。近日，全球各地的西部数据（WD）My Book NAS的用户突然发现，在没有操作的情况下设备被神秘地恢复出厂设置，所有文件被统统删除，且无法通过浏览器或应用程序登录设备。

至于西部数据（WD） My Book，其实是一种网络连接存储（NAS）设备，简称大容量外置桌面硬盘。西部数据（WD） My Book Live应用程序让用户可以远程访问其文件、管理其设备，即使该NAS在防火墙或路由器的后面。对有大容量文件存储用户来说，操作便捷又方便。

现如今，这个操作便捷随时访问文件的设备，存储的文件被神秘删除，并存在无法登陆设备的情况，到底是哪一环出了问题？

原来，是黑客利用远程漏洞抹除My Book用户数据。西部数据（WD）官方回应称，部分 My Book Live 和 My Book Live Duo 设备因一个远程命令执行漏洞影响，一旦被攻击者利用，可触发出厂重置，由此删除设备上的所有数据。而这个被黑客利用的漏洞，是编号为CVE-2018-18472的根远程命令执行（RCE）漏洞。

目前，西部数据（WD）正在分析从受影响客户那里收到的日志文件，以进一步确定攻击和访问机制的特征。而在一些交流论坛上，WD My Book用户们正自发地分享恢复数据的方法思路，这场数据“自救”暂时有个别的成功案例。

为避免更多用户中招，西部数据（WD）敦促 My Book 用户立即断开互联网连接。

网站公然打广告，勒索软件团伙竟如此嚣张

随着两个著名俄语网络犯罪论坛禁止勒索软件相关的话题，以勒索软件为代表的犯罪活动开始寻找其他替代方法进行推广。有情况显示，目前至少有两个需要黑客发动攻击的勒索软件团伙，一直在利用自己的网站宣传其加密工具的功能以吸引新成员的加入。

大概一周前，LockBit 勒索软件团伙发布了一个新版加密工具，声称加密速度有明显提高。而为了证明他们的说法，该勒索软件团伙还同时测试了多个版本的勒索软件的加密速度，试图用数据证明所言非虚。（只要没有底线，宣传非法软件也绝不手软）

而在推出LockBit 2.0版本时，该勒索软件团伙还发布了一份会员招募活动，强调2019 年 9 月开始活动以来，他们从未动摇过加密行动。同时，为了吸引更多的合作伙伴，LockBit 勒索软件团伙，宣称将提供“全世界最快的文件加密窃取工具(StealBit)” 。

在LockBit 勒索软件团伙，另一个在网站上进行推广勒索软件即服务 (RaaS) 操作的团伙是Himalaya，这是一个今年开始活动的组织。该团伙为附属公司和“已经配置和编译的 FUD [完全无法检测]”文件加密恶意软件宣称有 70% 的佣金。

暴利迷人眼。在LockBit 、Himalaya等勒索软件团伙的大力宣传下，难免会有人忍不住心动。不过，在各国逐渐收紧对勒索软件管制的背景下，不知道这些大张旗鼓宣传的勒索软件团伙还能蹦跶多久。