资安业者Recorded Future近期公布他们的调查结果，指出这些黑客的攻击过程，主要通过云存储备份数据，或是不当配置的Amazon S3运行个体来进行勒索。此外，这些黑客也与许多勒索软件组织相同，不只针对Windows、Linux电脑下手，他们也打造了专属的勒索软件，锁定VMware ESXi虚拟化环境而来。

而对于这些勒索软件的代码来源，研究人员指出与BlackCat（Alphv）丶Knight的代码有所关连，推测这些黑客组织可能彼此互相共用资源。值得留意的是，他们发现，针对Windows及Linux的RansomHub，都是使用Go语言打造而成，其中至少共用了47%的代码基础，但针对ESXi的勒索软件，却是以C++打造而成，相较于2个较早出现的版本，该黑客组织约自4月开始提供ESXi版本的勒索软件。

与其他勒索软件黑客的做法相同的是，ESXi版RansomHub具备专门针对VMware虚拟化环境的功能，像是删除快照、强制虚拟机关机、列出要加密的文件名单。此外，这个勒索软件也能停用所有虚拟机的处理进程。

但特别的是，这个勒索软件还具备抹除作案踪迹的能力，像是停用ESXi的系统事件记录服务、加密文件完成后自我删除，这类功能在同类型的勒索软件当中，算是较为罕见。

研究人员意外发现ESXi版RansomHub的设计缺陷，这个勒索软件使用特定文件检查程序是否已经运行，若是设置特定参数，就有可能导致勒索软件进入无限循环，从而自我删除。对此，他们也提出能暂时抵挡这款勒索软件的做法，供企业组织参考。