据外媒报道，一个勒索软件团伙已经破坏了至少三家托管服务提供商（MSP）的设施，并使用了他们的远程管理工具，即WebrootSecureAnywhere控制台，在MSP的客户系统上部署勒索软件。

黑客通过暴露的RDP（远程桌面端点）、在受攻击的系统内提高特权、以及手动卸载ESET和Webroot等AV产品来入侵MSP。接着，黑客搜索用来管理远程工作站的Webroot SecureAnywhere的帐户，执行Powershell脚本，下载并安装Sodinokibi勒索软件的脚本。

Webroot开始强制为SecureAnywhere帐户启用双因素身份验证（2FA），以此希望防止黑客使用其他帐户部署新的勒索软件。

与此同时，罗马尼亚当地媒体报道称，首都布加勒斯特有五家医院感染了勒索软件，但目前无法确定这两件事之间是否存在关联。