多个恶意黑客团伙利用 2021 年 9 月 Babuk（又名 Babk 或 Babyk）勒索软件泄露的源代码，构建了多达 9 个针对 VMware ESXi 系统的不同勒索软件家族。

尽管出现了明显的趋势，但 SentinelOne 公司表示，它没有观察到 Babuk 同 ALPHV、Black Basta、Hive 及 LockBit 的 ESXi 勒索软件间存在相似之处。该公司还发现，ESXiArgs 和 Babuk 之间同样 “几乎没有相似之处”，表明之前的归因可能有误。

Delamotte 解释道，“随着越来越多 ESXi 勒索软件采用 Babuk 源代码，恶意黑客们有可能会转向该组织基于 Go 语言开发的 NAS 勒索软件。在黑客群体之间，Go 语言目前仍是个小众选项，但其接受程度正在不断增加。”

这一趋势始于 Royal 勒索软件的幕后团伙（疑似前 Conti 成员）扩展攻击工具库，他们曾将针对 Linux 和 ESXi 环境的 ELF 变体纳入自己的武器储备。

Palo Alto Networks 旗下安全部门 Unit 42 发布文章也指出，“ELF 变体与 Windows 变体非常相似，样本没有使用任何混淆技术。包括 RSA 公钥和赎金记录在内的所有字符串，均以明文形式存储。”

Royakl 勒索软件攻击会从各种初始访问向量（如回调钓鱼、BATLOADER 感染或窃取凭证等）起步，随后投放 Cobalt Strike Beacon 以预备执行勒索软件。

自 2022 年 9 月出现以来，Royal 勒索软件已在其泄露网站上宣称对 157 家组织的事件负责，其中大多数攻击针对美国、加拿大和德国的制造、零售、法律服务、教育、建筑及医疗服务组织。