資安業者Recorded Future近期公佈他們的調查結果，指出這些駭客的攻擊過程，主要透過雲端儲存備份資料，或是不當配置的Amazon S3執行個體來進行勒索。此外，這些駭客也與許多勒索軟體組織相同，不只針對Windows、Linux電腦下手，他們也打造了專屬的勒索軟體，鎖定VMware ESXi虛擬化環境而來。

而對於這些勒索軟體的程式碼來源，研究人員指出與BlackCat（Alphv）丶Knight的程式碼有所關連，推測這些駭客組織可能彼此互相共用資源。值得留意的是，他們發現，針對Windows及Linux的RansomHub，都是使用Go語言打造而成，其中至少共用了47%的程式碼基礎，但針對ESXi的勒索軟體，卻是以C++打造而成，相較於2個較早出現的版本，該駭客組織約自4月開始提供ESXi版本的勒索軟體。

與其他勒索軟體駭客的做法相同的是，ESXi版RansomHub具備專門針對VMware虛擬化環境的功能，像是刪除快照、強制虛擬機器關機、列出要加密的檔案名單。此外，這個勒索軟體也能停用所有虛擬機器的處理程式。

但特別的是，這個勒索軟體還具備抹除作案蹤跡的能力，像是停用ESXi的系統事件記錄服務、加密檔案完成後自我刪除，這類功能在同類型的勒索軟體當中，算是較為罕見。

研究人員意外發現ESXi版RansomHub的設計缺陷，這個勒索軟體使用特定檔案檢查程式是否已經執行，若是設置特定參數，就有可能導致勒索軟體進入無限循環，從而自我刪除。對此，他們也提出能暫時抵擋這款勒索軟體的做法，供企業組織參考。