赛门铁克指出，勒索软件RansomHub于今年3月至5月，已成为全球第4大的勒索软件威胁，仅次于LockBit、Play，以及Qilin。

研究人员指出，这些勒索软件的代码内容高度重叠，光是从代码的特征难以区别彼此，在许多情况下，他们只能借由数据外泄网站的网址来辨别。再者，在两款勒索软件命令行的功能说明也几乎一致，是RansomHub多了休眠（暂停运作）的能力。

而从勒索软件加密文件完成留下的勒索消息而言，Knight使用的话语多半逐字出现在RansomHub的勒索消息里，这代表开发者延用旧的勒索消息并调整部分内容。

这两款勒索软件的运作模式也存在共通点，那就是在开始加密文件之前，将受害电脑重新开机，以便文件加密过程较不受到阻碍。根据这项特征，研究人员推测，Knight和RansomHub很可能源自于2019年出现的Snatch。

值得留意的是，虽然Knight和RansomHub存在许多共同点，但RansomHub并非Knight原班人马东山再起，原因是Knight结束营运后于今年2月出售源码，因此研究人员认为，有人买下相关源码并组成了RansomHub。

而对于RansomHub的攻击流程，研究人员提及，他们看到这些黑客通常利用ZeroLogon（CVE-2020-1472）取得初始入侵的管道，对方借此得到网域管理员权限，从而控制整个网域。

这些黑客也擅长使用合法应用程序进行寄生攻击，例如：使用远程管理工具Atera、Splashtop进行远程存取，运用NetScan对于受害组织的网络环境进行侦察。此外，他们也会利用iisreset.exe、iisrstas.exe停用IIS服务。