江民播报（3.22-3.28） – 作者:江民安全实验室

1.宏碁被勒索软件攻击，3.25亿赎金创下新记录

计算机巨头宏碁（Acer）受到勒索软件REvil攻击，勒索赎金高达5000万美元，折合人民币3.25亿元，创下了已知勒索赎金的新纪录，同时攻击者表示如果不能按期交付赎金，勒索金额将翻倍。

2.《原神》遭黑客攻击，最新版本更新内容被提前泄露

近日，《原神》制作公司米哈游表示，他们发现了网络上关于《原神》1.5版本更新内容的传播。米哈游表示这种行为不仅破坏了他们开发和推广新版本的计划，而且还使一些玩家对新版本的内容产生了误解。对此，米哈游希望玩家能够提供支持和帮助来保持公平的游戏环境，同时表示会加大力度打击此类非法传播。

3.和微软相关的钓鱼攻击占总钓鱼邮件攻击的一半

Cofense通过分析数百万封进行网络攻击的电子邮件，发现其中57%是钓鱼邮件，其目的在于窃取受害者的用户名和密码。其余的恶意邮件则是用来进行商业邮件泄露（BEC）攻击或传播恶意软件。研究人员表示，在这些钓鱼邮件中，45%使用了微软的相关服务来进行攻击。网络犯罪分子既使用了微软的相关工具来发送钓鱼邮件，又利用了合法的微软域名来托管钓鱼登陆页面。

4.Microsoft 365服务中断，可能影响全球用户

Microsoft 365服务发生中断，原因是Azure Active Directory（AAD）配置问题。AAD为微软用户提供云端的身份和访问管理，全球规模最大的2000个组织中有超过90%都在使用AAD服务。该服务通过单点登录的方式，允许用户访问Office 365、Workday和谷歌等在线服务。微软已确认该问题会影响全球用户。

5.2021年开发安全需求将爆炸式增长

近日，根据WhiteHat Security的一项新研究，在制造业、公共服务、医疗保健、零售、教育和公用事业等行业中使用的应用程序中，至少有50％包含一个或多个严重的可利用漏洞，应用安全人才需求激增。预计未来五年开发安全技能的需求将增长164％。五年内，开发安全人才的职位缺口将从2020年的29635人扩大到48601人。

6.谷歌发布适用于Chrome浏览器的Spectre PoC代码漏洞

Google发布了对其GitHub上的Chrome浏览器进行幽灵攻击的概念验证代码。专家们决定发布概念证明代码，以证明基于Web的幽灵攻击的可行性。PoC代码使用JavaScript编写，可在英特尔Skylake CPU上的Chrome 88上运行，它允许以1kB/s的速度从设备内存中下载数据。

（以上内容来源于网络、江民赤豹网络安全实验室，若有侵权请联系删除~）

1.警惕钓鱼邮件。不要下载非法软件或打开不知名邮件内容（特别是邮件中包含有后缀名为.exe，.vbs, .xlsm，.ps1，.js等的附件）！

2.不要使用没有经过病毒扫描的USB闪盘或移动硬盘在您和您的外部商务合作伙伴之间拷贝、传递数据，以防病毒通过移动存储设备传播。

安全小课堂

– 2021.3.22~3.28 –

3.27日 地球熄灯一小时

地球一小时（Earth Hour）是世界自然基金会(WWF)应对全球气候变化所提出的一项全球性节能活动，提倡于每年三月最后一个星期六的当地时间晚上20:30(2021年地球一小时时间为3月27日晚上20：30)，家庭及商界用户关上不必要的电灯及耗电产品一小时，以此来表明他们对应对气候变化行动的支持。

来源：freebuf.com 2021-03-26 17:42:44 by: 江民安全实验室