A SmarterTools confirmou na última semana que sofreu uma invasão em sua rede pelo grupo de ransomware Warlock, após a exploração de um sistema de e-mails.
No entanto, a empresa garante que essa violação não afetou seus aplicativos comerciais nem os dados de contas.
Segundo Derek Curtis, Chief Commercial Officer da companhia, o ataque ocorreu em 29 de janeiro, a partir de uma única máquina virtual (VM) do SmarterMail configurada por um funcionário.
“Antes da invasão, tínhamos cerca de 30 servidores ou VMs com SmarterMail instalados em nossa rede”, explicou Curtis.
“Infelizmente, não sabíamos da existência de uma VM configurada por um colaborador que não estava sendo atualizada, o que tornou esse servidor de e-mail vulnerável e facilitou a invasão.”
Embora a SmarterTools assegure que os dados dos clientes não foram diretamente comprometidos, 12 servidores Windows da rede corporativa, além de um data center secundário usado para testes laboratoriais, controle de qualidade e hospedagem, foram invadidos.
Os invasores se movimentaram lateralmente a partir daquela VM vulnerável, utilizando o Active Directory e ferramentas específicas do ambiente Windows para manter a persistência.
Os servidores Linux, que correspondem à maior parte da infraestrutura da empresa, não foram afetados.
O ataque explorou a falha
CVE-2026-23760
, uma vulnerabilidade de bypass de autenticação no SmarterMail em versões anteriores ao Build 9518, que permite resetar senhas de administradores e obter privilégios completos.
A SmarterTools informou que o grupo Warlock realizou a invasão e que, cerca de uma semana após o acesso inicial, iniciou a criptografia dos sistemas acessíveis.
Felizmente, produtos de segurança da SentinelOne impediram a execução do payload final que realizaria a encriptação.
Os sistemas afetados foram isolados e os dados recuperados por meio de backups recentes.
Entre as ferramentas utilizadas pelos hackers estão Velociraptor, SimpleHelp e versões vulneráveis do WinRAR.
Além disso, itens de inicialização e tarefas agendadas foram usados para garantir a persistência, conforme relatado pela empresa.
Anteriormente, a Cisco Talos havia identificado o uso da ferramenta open-source de DFIR Velociraptor por esse grupo.
Em outubro de 2025, a Halcyon relacionou o grupo Warlock a um ator estatal chinês conhecido como Storm-2603.
Hoje, a ReliaQuest publicou um relatório confirmando essa ligação com grau moderado a alto de confiança.
“Enquanto a vulnerabilidade permite a um invasor contornar a autenticação e resetar senhas de administrador, o Storm-2603 utiliza o recurso de ‘Volume Mount’ do software para obter controle total do sistema”, explicou a ReliaQuest.
“Após o acesso, o grupo instala o Velociraptor, ferramenta legítima de forense digital usada em campanhas anteriores, garantindo a manutenção do controle e preparando o ambiente para o ransomware.”
A ReliaQuest também detectou tentativas de exploração da
CVE-2026-24423
, outra falha no SmarterMail identificada pela CISA como ativamente explorada na semana passada, embora o vetor principal tenha sido a
CVE-2026-23760
.
Os pesquisadores destacam que a
CVE-2026-24423
permite execução remota de código via API de forma mais direta, mas a
CVE-2026-23760
é mais silenciosa, parecendo uma atividade administrativa legítima, o que pode explicar a preferência do grupo.
Para corrigir as vulnerabilidades recentes no SmarterMail, a recomendação aos administradores é atualizar para o Build 9518 ou superior o quanto antes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...