賽門鐵克指出，勒索軟體RansomHub於今年3月至5月，已成為全球第4大的勒索軟體威脅，僅次於LockBit、Play，以及Qilin。

研究人員指出，這些勒索軟體的程式碼內容高度重疊，光是從程式碼的特徵難以區別彼此，在許多情況下，他們只能藉由資料外洩網站的網址來辨別。再者，在兩款勒索軟體命令列的功能說明也幾乎一致，是RansomHub多了休眠（暫停運作）的能力。

而從勒索軟體加密檔案完成留下的勒索訊息而言，Knight使用的話語多半逐字出現在RansomHub的勒索訊息裡，這代表開發者延用舊的勒索訊息並調整部分內容。

這兩款勒索軟體的運作模式也存在共通點，那就是在開始加密檔案之前，將受害電腦重新開機，以便檔案加密過程較不受到阻礙。根據這項特徵，研究人員推測，Knight和RansomHub很可能源自於2019年出現的Snatch。

值得留意的是，雖然Knight和RansomHub存在許多共同點，但RansomHub並非Knight原班人馬東山再起，原因是Knight結束營運後於今年2月出售原始碼，因此研究人員認為，有人買下相關原始碼並組成了RansomHub。

而對於RansomHub的攻擊流程，研究人員提及，他們看到這些駭客通常利用ZeroLogon（CVE-2020-1472）取得初始入侵的管道，對方藉此得到網域管理員權限，從而控制整個網域。

這些駭客也擅長使用合法應用程式進行寄生攻擊，例如：使用遠端管理工具Atera、Splashtop進行遠端存取，運用NetScan對於受害組織的網路環境進行偵察。此外，他們也會利用iisreset.exe、iisrstas.exe停用IIS服務。