據(jù)外媒報(bào)道，一個(gè)勒索軟件團(tuán)伙已經(jīng)破壞了至少三家托管服務(wù)提供商（MSP）的設(shè)施，并使用了他們的遠(yuǎn)程管理工具，即WebrootSecureAnywhere控制臺(tái)，在MSP的客戶(hù)系統(tǒng)上部署勒索軟件。

黑客通過(guò)暴露的RDP（遠(yuǎn)程桌面端點(diǎn)）、在受攻擊的系統(tǒng)內(nèi)提高特權(quán)、以及手動(dòng)卸載ESET和Webroot等AV產(chǎn)品來(lái)入侵MSP。接著，黑客搜索用來(lái)管理遠(yuǎn)程工作站的Webroot SecureAnywhere的帳戶(hù)，執(zhí)行Powershell腳本，下載并安裝Sodinokibi勒索軟件的腳本。

Webroot開(kāi)始強(qiáng)制為SecureAnywhere帳戶(hù)啟用雙因素身份驗(yàn)證（2FA），以此希望防止黑客使用其他帳戶(hù)部署新的勒索軟件。

與此同時(shí)，羅馬尼亞當(dāng)?shù)孛襟w報(bào)道稱(chēng)，首都布加勒斯特有五家醫(yī)院感染了勒索軟件，但目前無(wú)法確定這兩件事之間是否存在關(guān)聯(lián)。