據(jù)外媒報(bào)道，一個勒索軟件團(tuán)伙已經(jīng)破壞了至少三家托管服務(wù)提供商（MSP）的設(shè)施，并使用了他們的遠(yuǎn)程管理工具，即WebrootSecureAnywhere控制臺，在MSP的客戶系統(tǒng)上部署勒索軟件。

黑客通過暴露的RDP（遠(yuǎn)程桌面端點(diǎn)）、在受攻擊的系統(tǒng)內(nèi)提高特權(quán)、以及手動卸載ESET和Webroot等AV產(chǎn)品來入侵MSP。接著，黑客搜索用來管理遠(yuǎn)程工作站的Webroot SecureAnywhere的帳戶，執(zhí)行Powershell腳本，下載并安裝Sodinokibi勒索軟件的腳本。

Webroot開始強(qiáng)制為SecureAnywhere帳戶啟用雙因素身份驗(yàn)證（2FA），以此希望防止黑客使用其他帳戶部署新的勒索軟件。

與此同時(shí)，羅馬尼亞當(dāng)?shù)孛襟w報(bào)道稱，首都布加勒斯特有五家醫(yī)院感染了勒索軟件，但目前無法確定這兩件事之間是否存在關(guān)聯(lián)。