O grupo de ransomware Royal, que surgiu da demolição do infame grupo Conti, está atualizando seu arsenal com um novo malware.

Vários outros grupos derivados do Conti são conhecidos por usar downloaders comerciais, como Emotet, QBot e IcedID.

Agora, os atores reais estão se esforçando para desenvolver seu próprio carregador de malware, essencialmente inspirado nas amostras de malware mencionadas.

Recentemente, o grupo Royal ransomware começou a construir seu próprio carregador para infectar os dispositivos de endpoint e baixar outros malwares.

Após a infecção, ele se conecta imediatamente a um servidor Royal C2, que o grupo afirma ser um recurso de design.

O grupo Royal se baseia fortemente em estratégias comprovadas por outros grupos, como o Qbot.

Por exemplo, ele explora o CVE-2022-41073 para acesso inicial (uma vulnerabilidade de elevação de privilégio no Windows Print Spooler) da mesma forma que o Qbot.

O relatório recente esclarece que a colaboração do grupo Royal se inspirou em diferentes grupos de ransomware existentes ou extintos.