今年2月中旬，为了在一次攻击中大规模感染客户，勒索软件分发者现在已经开始针对托管服务供应商(MSP)。当时的报告显示，多个MSP遭到黑客攻击，导致数百个客户感染了GandCrab勒索软件。现在，这种攻击方式又死灰复燃了，到目前为止，勒索软件团伙已经破坏了至少三家托管服务供应商(MSP)的基础设施，并使用远程管理工具，即Webroot SecureAnywhere控制台，在托管服务供应商的客户系统上部署勒索软件。

攻击细节目前还不够详细，事件的影响范围以及相关托管服务供应商的信息也还没有。但根据目前发现的信息，攻击者可能以某种方式获得了托管服务供应商的两个远程管理工具——一个来自Webroot，另一个来自Kaseya——来分发勒索软件。

1. 黑客通过RDP(远程桌面端点)进入

Huntress Lab的联合创始人兼首席执行官Kyle Hanslovan表示，黑客通过暴露的RDP(远程桌面端点)，受损系统内的特权升级以及手动卸载的AV产品(如ESET和Webroot)入侵托管服务提供商。

在攻击的下一阶段，黑客搜索Webroot SecureAnywhere的帐户，这是托管服务供应商用来管理远程工作站(在其客户网络中)的远程管理软件(控制台)。然后，黑客使用控制台在远程工作站上执行Powershell脚本，下载并安装Sodinokibi勒索软件的脚本。

到目前为止，至少有三个托管服务供应商以这种方式被黑客入侵。一些Reddit用户还报告说，黑客可能也使用了Kaseya VSA远程管理控制台，但这一点还未得到研究人员的证实。

三家供应商中有两家公司只有运行Webroot的主机被感染，考虑到Webroot的管理控制台允许管理员远程下载和执行文件到端点，这是一个看似合理的攻击媒介。

2. WEBROOT为SECUREANYWHERE帐户部署2FA(双因素身份认证)

根据Hanslovan收到的一封电子邮件，Webroot开始强制为SecureAnywhere帐户启用双因素身份认证，希望防止黑客利用任何其他可能被劫持的帐户部署新的勒索软件。

SecureAnywhere支持2FA，但在默认情况下不启用该功能。

Sodinokibi勒索软件是一种相对较新的勒索软件，于4月下旬发现。当时，威胁行为者正在使用Oracle WebLogic 0-day攻击公司网络并部署勒索软件。Sodinokibi勒索软件可以加密受感染系统上的数据并删除副本备份。

现在针对托管服务供应商的攻击是第二次攻击浪潮，第一次攻击时黑客组织利用常用MSP工具中的漏洞在客户的工作站上部署GandCrab勒索软件。巧合的是，第一次攻击被报道出来时，罗马尼亚当地媒体报道说，该国首都布加勒斯特有五家医院感染了GandCrab勒索软件。但是，没有证据表明这两个事件之间没有联系。

对托管服务供应商的攻击越来越令人担忧。一些由国家赞助的威胁组织已开始以托管服务供应商为目标，并试图进入其客户网络。APT10是针对托管服务供应商的最著名的组织之一，在过去几年中，该组织一直在进行一项名为Cloud Hopper的网络间谍活动，通过攻击托管服务供应商来窃取银行、制造业、电子产品和其他许多行业的组织数据。

2018年10月，美国国土安全部发布了题为《利用托管服务提供商的高级持续性威胁活动》的警报，讨论了不良行为者如何针对MSP获取其客户网络的访问权限。