勒索軟體

根據安全研究人員Dominic Alvieri發現的BlackCat部落格貼文，這個勒索軟體組織承認犯下Reddit今年2月的資料外洩事件，在Reddit不願支付贖金的情況下，BlackCat除了以公布Reddit機密為要脅，還利用Reddit的API收費政策引發的抗議聲浪，對Reddit執行長Steve Huffman施壓。

美國國務院宣布其正義獎勵（Rewards for Justice）計畫，將提供高額獎金以換取Clop勒索軟體以及針對當地重大基礎設施的網路攻擊情報

利用MOVEit Transfer零時差漏洞發動攻擊的Clop勒索集團駭客公布受害名單，包括美國能源部、英國石油巨擘Shell以及數家歐美銀行，其中美國能源部及殼牌已經向媒體證實遭駭

Obsidian研究人員觀測到針對某家SharePoint Online用戶的勒索軟體攻擊事件，攻擊者不從用戶電腦終端進行感染，而是從入侵缺乏2FA等防護的微軟全域管理員服務憑證著手

在2023年5月的資安新聞中，國內資安威脅現況的揭露成為主要焦點，包括iThome年度資安大調查結果公布，以及本月舉行的CYBERSEC 2023臺灣資安大會期間，有國內外資安專家揭露相關態勢

本周有MOVEit Transfera零時差漏洞與Zyxel在4月底修補已知漏洞遭攻擊者鎖定利用的消息最受關注，還有技嘉主機板軟體更新機制不安全恐被利用於供應鏈攻擊的警告，後續技嘉已緊急提供BIOS韌體更新因應

面對駭客多變攻擊手法，企業資源未必有能力一次將資安防禦做到位。如何確定資安措施優先執行順序，重點是掌握威脅情資，根據駭客攻擊模式來規畫防禦。

本周有6個漏洞利用消息成焦點，包括蘋果修補3個WebKit零時差漏洞、Samsung裝置的漏洞，以及兩個Cisco早年的已知漏洞；本周國內資安事件頻頻引發關注，包括Yoxi、微笑單車公告遭網路攻擊，誠品、統聯客運客戶資料外洩被用於詐騙，以及財政部電子發票平臺企業帳號的共通預設密碼狀況