La semana pasada, SmarterTools confirmó que el grupo de ransomware Warlock (también conocido como Storm-2603) aprovechó instancias de SmarterMail sin parches para infiltrarse en las redes.
Derek Curtis, director comercial de la compañía, dijo que el incidente ocurrió el 29 de enero de 2026, cuando un servidor de correo electrónico que no había sido actualizado a la última versión se vio comprometido.
«Antes de la infracción, teníamos aproximadamente 30 servidores/VM con SmarterMail instalados en nuestra red», explicó Curtis. «Desafortunadamente, no sabíamos que una máquina virtual configurada por un empleado no se había actualizado, lo que provocó que su servidor de correo electrónico se viera comprometido, lo que provocó la infracción».
Sin embargo, SmarterTools enfatizó que la violación no afectó su sitio web, su carrito de compras, su portal Mi Cuenta ni varios otros servicios, y ninguna aplicación comercial o datos de su cuenta se vieron afectados o comprometidos.
Se ha confirmado que aproximadamente 12 servidores Windows en la red de oficinas de la empresa y un centro de datos secundario utilizado para pruebas de control de calidad (QC) están afectados. El director ejecutivo, Tim Usanti, dijo que el «intento de ataque de ransomware» también afectó a los clientes de host que utilizaban SmarterTrack.
«Los clientes de host que utilizan SmarterTrack fueron los más afectados», dijo Uzanti en otra amenaza del portal comunitario. «Esto no se debió a un problema con SmarterTrack en sí, sino a que ese entorno era de más fácil acceso que otros una vez que ingresó a nuestra red».
Además, SmarterTools admitió que después de que el grupo Warlock obtuvo acceso inicial, esperó varios días para obtener el control del servidor Active Directory y crear nuevos usuarios, y luego eliminó cargas útiles adicionales como Velociraptor y Locker para cifrar archivos.
«Una vez que estos atacantes obtienen acceso, normalmente instalan archivos y esperan aproximadamente de seis a siete días antes de tomar medidas adicionales», dijo Curtis. «Esto explica por qué algunos clientes encontraron violaciones incluso después de la actualización. La violación inicial ocurrió antes de la actualización, pero la actividad maliciosa se desencadenó más tarde».
Aunque actualmente no está claro qué vulnerabilidades en SmarterMail fueron aprovechadas por los atacantes, vale la pena señalar que se han explotado múltiples fallas en el software de correo electrónico: CVE-2025-52691 (puntuación CVSS: 10,0), CVE-2026-23760 y CVE-2026-24423 (puntuación CVSS: 9,3).
CVE-2026-23760 es una falla de omisión de autenticación que podría permitir a usuarios arbitrarios restablecer la contraseña de un administrador del sistema SmarterMail enviando una solicitud HTTP especialmente diseñada. CVE-2026-24423, por otro lado, explota una debilidad en el método API ConnectToHub para permitir la ejecución remota de código (RCE) no autenticado.
Esta vulnerabilidad se abordó en la versión 9511 de SmarterTools. La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) confirmó que CVE-2026-24423 estaba siendo explotado en ataques de ransomware.
En un informe publicado el lunes, la empresa de ciberseguridad ReliaQuest dijo que había identificado actividad potencialmente relacionada con Warlock, incluida la explotación de CVE-2026-23760 para eludir la autenticación y organizar cargas útiles de ransomware en sistemas conectados a Internet. El ataque utiliza el acceso inicial para descargar un instalador MSI malicioso (‘v4.msi’) de Supabase, una plataforma backend legítima basada en la nube, e instalar Velociraptor.
«Esta vulnerabilidad permite a un atacante eludir la autenticación y restablecer la contraseña del administrador, pero Storm-2603 encadena este acceso con la funcionalidad incorporada de ‘montaje de volumen’ del software para tomar el control total del sistema», dijo la investigadora de seguridad Alexa Femminella. «Durante la infracción, el grupo instala Velociraptor, una herramienta forense digital legítima utilizada en campañas anteriores, para mantener el acceso y prepararse para el ransomware».
La comunidad de seguridad también señala que, en última instancia, las dos vulnerabilidades tienen el mismo resultado. CVE-2026-23760 permite el acceso administrativo no autenticado a través de la API de restablecimiento de contraseña, que se puede combinar con lógica de montaje para ejecutar código, mientras que CVE-2026-24423 proporciona una ruta más directa para la ejecución del código a través de la ruta API.
El hecho de que los atacantes sigan el primer método indica que probablemente permita que la actividad maliciosa se mezcle con los flujos de trabajo administrativos comunes y eluda la detección.
«Al explotar la funcionalidad legítima (restablecer una contraseña o montar una unidad), en lugar de depender únicamente de una única primitiva de explotación ‘ruidosa’, los operadores pueden reducir la eficacia de las detecciones diseñadas específicamente para patrones RCE conocidos», añadió Femminella. «Este ritmo de utilización de armas es consistente con los operadores de ransomware que analizan rápidamente las soluciones de los proveedores y desarrollan técnicas de trabajo poco después del lanzamiento».
Se recomienda a los usuarios de SmarterMail que actualicen inmediatamente a la última versión (compilación 9526) para obtener una protección óptima y aislar sus servidores de correo electrónico para bloquear los intentos de movimiento lateral utilizados para implementar ransomware.
Source link
