SmarterTools confirmó la semana pasada que la banda de ransomware Warlock (también conocida como Storm-2603) violó su red al explotar una instancia de SmarterMail sin parches.

El incidente tuvo lugar el 29 de enero de 2026, cuando un servidor de correo que no estaba actualizado a la última versión se vio comprometido, dijo el director comercial de la empresa, Derek Curtis.

«Antes de la violación, teníamos aproximadamente 30 servidores/máquinas virtuales con SmarterMail instalados en toda nuestra red», dijo Curtis explicó . «Lamentablemente, desconocíamos una máquina virtual, configurada por un empleado, que no se estaba actualizando. Como resultado, ese servidor de correo se vio comprometido, lo que provocó la violación».

Sin embargo, SmarterTools hizo hincapié en que la violación no afectó a su sitio web, su carrito de compras, el portal My Account y varios otros servicios, y que ninguna aplicación empresarial ni los datos de la cuenta se vieron afectados o comprometidos.

adsense

Se ha confirmado que unos 12 servidores Windows de la red de oficinas de la empresa, así como un centro de datos secundario utilizado para las pruebas de control de calidad (QC), están afectados. Según su director ejecutivo, Tim Uzzanti, el «intento de ataque de ransomware» también afectó a los clientes alojados que utilizaban SmarterTrack.

«Los clientes alojados que utilizaban SmarterTrack fueron los más afectados», Uzzanti dijo en una amenaza diferente del Portal Comunitario. «Esto no se debió a ningún problema en el propio SmarterTrack, sino más bien a que era más fácil acceder a ese entorno que a otros una vez que entraban en nuestra red».

Además, SmarterTools reconoció que el grupo Warlock esperó un par de días después de obtener el acceso inicial para tomar el control del servidor de Active Directory y crear nuevos usuarios, y luego eliminar cargas útiles adicionales, como Velocirraptor y el casillero para cifrar archivos.

«Una vez que estos delincuentes obtienen acceso, suelen instalar los archivos y esperar aproximadamente de 6 a 7 días antes de tomar medidas adicionales», afirma Curtis. «Esto explica por qué algunos clientes se vieron comprometidos incluso después de la actualización: la violación inicial se produjo antes de la actualización, pero la actividad maliciosa se desencadenó más adelante».

Actualmente no está claro qué vulnerabilidad de SmarterMail fue utilizada como arma por los atacantes, pero vale la pena señalar que hay varios defectos en el software de correo electrónico: CVE-2025-52691 (puntuación CVSS: 10,0), CVE-2026-23760 , y CVE-2026-24423 (puntuación CVSS: 9.3) — han sido objeto de explotación activa en estado salvaje.

El CVE-2026-23760 es un defecto de elusión de autenticación que podría permitir a cualquier usuario restablecer la contraseña de administrador del sistema SmarterMail mediante el envío de una solicitud HTTP especialmente diseñada. El CVE-2026-24423, por otro lado, aprovecha una debilidad del método de la API ConnectToHub para lograr la ejecución remota de código (RCE) sin autenticar.

SmarterTools solucionó las vulnerabilidades en la compilación 9511. La semana pasada, la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) confirmó que el CVE-2026-24423 estaba siendo explotado en ataques de ransomware.

En un informe publicado el lunes, la empresa de ciberseguridad ReliaQuest dijo que había identificado una actividad probablemente vinculada a Warlock que implicaba el abuso del CVE-2026-23760 para eludir la autenticación y organizar la carga útil del ransomware en los sistemas conectados a Internet. El ataque también aprovecha el acceso inicial para descargar un instalador MSI malintencionado (» v4.msi «) de Supabase, una plataforma de backend legítima basada en la nube, para instalarlo Velocirraptor .

«Si bien esta vulnerabilidad permite a los atacantes eludir la autenticación y restablecer las contraseñas de los administradores, Storm-2603 encadena este acceso con la función de 'montaje de volumen' integrada en el software para obtener el control total del sistema», dijo la investigadora de seguridad Alexa Feminella dijo . «Al entrar, el grupo instala Velociraptor, una herramienta forense digital legítima que ha utilizado en campañas anteriores, para mantener el acceso y preparar el terreno para el ransomware».

El equipo de seguridad también señaló que las dos vulnerabilidades tienen el mismo resultado neto: mientras que el CVE-2026-23760 otorga acceso administrativo no autenticado a través de la API de restablecimiento de contraseñas, que luego se puede combinar con la lógica de montaje para lograr la ejecución del código, el CVE-2026-24423 ofrece una ruta más directa para la ejecución del código a través de una ruta de API.

enlaces

El hecho de que los atacantes sigan el primer método indica que es probable que permita que la actividad maliciosa se mezcle con los flujos de trabajo administrativos típicos, lo que les ayuda a evitar ser detectados.

«Al abusar de las funciones legítimas (restablecimiento de contraseñas y montaje de unidades) en lugar de confiar únicamente en una única primitiva de explotación «ruidosa», los operadores pueden reducir la eficacia de las detecciones ajustadas específicamente para los patrones de RCE conocidos», añadió Feminella. «Este ritmo de militarización coincide con el hecho de que los operadores de ransomware analizan con rapidez las soluciones de los proveedores y desarrollan sus habilidades poco después de su lanzamiento».

Se recomienda a los usuarios de SmarterMail que actualicen a la última versión ( Construir 9526 ) con efecto inmediato para una protección óptima y aíslan los servidores de correo para bloquear los intentos de movimiento lateral utilizados para implementar el ransomware.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.