Hackerek Sodinokibi zsarolóvírussal támadtak meg legalább három, menedzselt IT szolgáltatásokat (Managed Service Provider ─ MSP) nyújtó vállalatot. Az incidenskivizsgálásban néhány cégnek segítséget nyújtó Huntress Lab szerint a támadók RDP (Remote Desktop Endpoints) végpontokon fértek hozzá a rendszerekhez, majd képesek voltak emelt jogosultságot szerezni és hatástalanítani a vírusvédelmi megoldásokat. A támadás következő fázisában a hackerek Webroot SecureAnywhere fiókok után kutattak, amely szoftvert MSP-k az ügyfelek rendszereinek távoli kezelésére használják. Ahol sikerült ehhez is hozzáférést szerezniük, egy Powershell szkript segítségével indították útjának a zsarolóvírust. Egyes Reddit felhasználók szerint olyan támadás is történt, ahol a Webroothoz hasonló célú Kaseya VSA-t is használták, ám hivatalos megerősítés ezzel kapcsolatban nem történt. A Webroot szerencsére idő közben elkezdte kikényszeríteni a kétfaktoros hitelesítést a SecureAnywhere fiókokon.
