据The hacker news消息，来自俄罗斯的Nobelium攻击组织是2020年针对SolarWinds客户攻击的幕后主使。如今，Nobelium再次发起一波新的攻击，已令多个云服务提供商(CSP)、管理服务提供商(MSP)和其他IT服务组织的下游客户造成损失。这意味着Nobelium攻击者已经爱上了这种“攻击一个，拿下一群”的供应链攻击模式。10月25日，微软披露这一攻击活的细节，并表示自5月以来已向140多家经销商和供应商发出了警告。即便如此，7月1日-10月19日，Nobelium总共发起了22868次攻击，涉及609企业。

据《华尔街日报》周一报道，美国国务院计划设立一个新的网络空间和数字政策局，作为全面改革的一部分，以应对全球网络安全挑战，如勒索软件攻击。《华尔街日报》援引不愿透露身份的美国官员的话报道称，这次重组还将包括设立一个单独的关键和新兴技术特使职位。

当地时间周二，一场针对伊朗各地加油站的网络攻击关闭了管理燃料补贴的政府系统，并使愤怒的驾车者在关闭的加油站排起了长队。没有组织立即声称对这次袭击负责，尽管它与几个月前的另一起事件有相似之处。国家电视台援引伊朗国家安全委员会一位不愿透露姓名的官员的话，承认了网络攻击，几个小时后，它播出了在德黑兰排长队等待加油的图片。

10月24日，安全公司Emsisoft公开发布了一个针对勒索软件BlackMatter的解密器。Emsisoft表示，该解密器仅能解密2021年7月中旬至9月下旬之间被加密的文件，并非适用于全部版本的BlackMatter勒索软件。该解密器借助于一个存在于BlackMatter勒索软件中的恢复加密文件漏洞搭建，但漏洞已于9月底被BlackMatter运营者发现并修复。

近日，江苏无锡警方成功破获了一起侵犯公民个人信息案，犯罪嫌疑人非法获取各类公民信息，通过搭建具备查询功能的数据库，并利用非法网络平台为他人查询某大型社交网络账号关联的手机号码等个人信息数据，并将查询信息以每条1000美元（约合人民币6384元）的价格出售。警方表示，该数据库涉及个人信息高达54亿多条，是国内我们查获的最大单体量的一个公民个人信息社工库。

10月23日，研究人员发现，一个包含5000万条莫斯科车主信息的数据库正在暗网论坛上被以800美元的价格公开出售，该数据库包含姓名、出生日期、电话号码、VIN代码、车牌号、汽车品牌型号和注册年份等信息。研究人员推测，该数据库可能是攻击某一汽车保险公司后所窃取。

10月23日，英国最大的超市之一乐购（Tesco）遭到攻击，导致其在线零售网站和应用程序服务中断，超市的客户无法添加购物车、预订送货时间或修改和查看现有订单。Tesco公司表示，其系统遭到了攻击，目前受影响的服务正在紧急恢复，并向用户保证，并未在本次攻击事件中出现数据泄露事件。

日前，《广东省公共数据管理办法》正式印发，并将于2021年11月25日正式实施。《办法》进一步规范公共数据共享、开放和利用，释放公共数据价值，助力提升政府治理能力和公共服务水平。作为广东首部省级层面关于公共数据管理的政府规章，《办法》有诸多制度创新，包括国内首次明确将公共服务供给方数据纳入公共数据范畴、首次在省级立法层面真正落实“一数一源”、首次明确数据交易标的等。

10月25日上午11点左右，韩国电信公司KT表示，在全国范围内暂时关闭其网络是由大规模DDoS攻击造成的，使用电信网络的客户在大约40分钟内无法访问互联网，在此期间，用户无法使用信用卡、交易股票或访问在线应用程序。一些大型商业网站在停电期间也被关闭。KT发言人补充说，尚未弄清楚损害的程度或 DDoS攻击的幕后黑手。

10月25日Gartner消息称Groombridge表示：“数据贯穿了今年的许多趋势，但只有当企业能够信任数据时，数据才会变得有用。如今，资产和用户可能出现在任何地方，这意味着传统的安全边界已经消失。这就需要有网络安全网格架构（CSMA）。”CSMA帮助提供一体化安全结构和态势，为任何位置的任何资产提供安全保障。到2024年，使用CSMA一体化安全工具组成一个合作生态系统的企业机构能够将单项安全事件的财务影响平均减少90%。

据共同社网站报道，根据日本警察厅汇总的数据，今年上半年，互联网上设置的系统检测到可疑访问日均达到6347.4起，自2020年上半年起，持续呈现超过6000起的高水平。入侵企业等系统并对机密数据加密的“勒索软件”受害报告较去年下半年增加40起，至61起。其中，27起“勒索软件”攻击采用的是解除密码勒索金钱，若遭拒绝则威胁公开信息的“双重恐吓”手法。

路透社10月24日消息，英国连锁超市巨头乐购公司（Tesco）表示，有人试图干扰其系统，导致服务中断。据悉，Tesco首次出现问题是在周六，当时用户无法订购商品和跟踪发货。这不是Tesco第一次遭受黑客攻击，Tesco曾在2014年遭黑客攻击，当时在网上发布了2000多个包括密码在内的登录信息后，它被迫停用了在线客户账户。两年后，对Tesco财务部门的一次单独攻击导致250万英镑的损失。

近期，美国12个州总检察长在针对谷歌的反垄断诉讼中再次指出，谷歌与Facebook串通，破坏苹果为用户提供隐私保护功能的努力。修改后的起诉书写道：“这两家公司一直在合作，在苹果设备和Safari浏览器中加强Facebook识别Cookie被屏蔽用户的能力，从而绕开了一家大型科技公司向用户提供更强大隐私保护的努力。

10月20日，Google威胁分析团队披露了一系列主要针对YouTube创作者的钓鱼活动，攻击者利用“cookie窃取恶意软件”来窃取目标的凭据和浏览器cookie，从而劫持受害者的YouTube帐户。并根据粉丝量以3美元到4000美元不等的价格将这些被劫持的帐户出售，或者用于加密货币诈骗活动。

10月20日，AvosLocker勒索软件团伙声称已入侵台湾硬件制造商Gigabyte，获取了包括员工个人信息、交易记录以及涉及亚马逊、百思买、暴雪、英特尔和金士顿等公司的数据。研究人员称，如果证实AvosLocker窃取了Gigabyte的主密钥，或将引发新一轮大规模的供应链攻击。

10月19日，Google发布了本月的安全更新，总计修复了Chrome中的19个漏洞。此次修复的较为严重的漏洞是Skia中的堆缓冲区溢出漏洞（CVE-2021-37981）、隐身模式中的的释放后使用漏洞（CVE-2021-37982）、开发工具中的释放后使用漏洞（CVE-2021-37983）。

美国商务部近日以国家安全为由，推出了一项新的出口管制规则，旨在遏制向中国和俄罗斯出口或转售安全工具。该规定要求美国网络安全公司在向中国、俄罗斯和其他受关注国家的名册出售安全软件和设备之前，必须获得该部门工业和安全局 (BIS) 的许可，以遏制这些国家掌握技术的能力。

近日，谷歌推出首个安卓企业版漏洞赏金计划，用来奖励安卓企业版本在 Pixel 设备上的运行漏洞，最高奖励金额达25万美元。谷歌表示，自 2010 年 1 月启动Chromium 漏洞奖励计划以来，研究人员获得的赏金总额为 29,357,516 美元。谷歌有史以来最大单笔赏金支付给了一个可用于破坏 Pixel 3 设备的远程代码执行漏洞链，该笔赏金金额为 201,337 美元，获得者为360 Alpha Lab 的龚广。

据福布斯报道，名为@ReBensk的推特用户发现一个充满鱿鱼游戏插图的壁纸应用程序，但它最终只不过是恶意软件注入的前沿。ESET恶意软件研究进行调查后表示，在安卓设备上运行该应用程序可能会导致恶意广告欺诈（其中使用虚假印象数夸大广告收入）或不需要的SMS订阅。在得知该应用程序存在后，谷歌将其从Play商店中删除。但是到那时已经有超过5,000人下载了它，这使得著名的Joker恶意软件能够进入他们的设备。

日本近日通过新版《网络安全战略》，明确提出未来3年日本在网络安全领域的政策目标及实施方针。相较于以往版本，日本新版《网络安全战略》包含了大量与以往战略截然不同的内容，包括将网络领域在外交和安全保障问题上的“优先度”提升至空前高度，强化防卫省和自卫队的“网络防御”能力。新版战略称，日本在网络空间的合作领域，将聚焦共享信息和协调政策、事件共同响应、能力构建援助。并首次在此战略中提出“数字改革”和网络安全同步发展。