Riesgo crítico por ataque de ransomware Warlock a SmarterTools
Publicado el
Compromiso de SmarterTools por parte de Warlock
SmarterTools ha confirmado que su red fue vulnerada por el grupo de ransomware Warlock (también conocido como Storm-2603) a través de una instancia de SmarterMail que no contaba con las actualizaciones necesarias. Este incidente se produjo el 29 de enero de 2026, cuando un servidor de correo electrónico desactualizado fue comprometido, según explicó Derek Curtis, director comercial de la compañía.
Curtis indicó que, antes de la brecha, la empresa operaba alrededor de 30 servidores y máquinas virtuales con SmarterMail. Sin embargo, un servidor virtual, configurado por un empleado y que no se estaba actualizando, permitió el acceso no autorizado. Afortunadamente, SmarterTools aseguró que la brecha no afectó a su sitio web, carrito de compras, el portal de My Account ni a otros servicios, y que no se comprometieron aplicaciones comerciales ni datos de cuentas.
Impacto en la infraestructura
Se confirma que aproximadamente 12 servidores Windows de la red de oficinas de la compañía, así como un centro de datos secundario utilizado para pruebas de control de calidad, fueron afectados. Tim Uzzanti, CEO de SmarterTools, mencionó que el ataque de ransomware impactó especialmente a los clientes que utilizan SmarterTrack. "Los clientes hospedados en SmarterTrack fueron los más afectados, no por fallos en el propio SmarterTrack, sino porque este entorno era más accesible tras la brecha", comentó Uzzanti en una plataforma comunitaria.
Estrategia de los atacantes
SmarterTools observó que el grupo Warlock esperó varios días después de obtener acceso inicial para tomar control del servidor de Active Directory y crear nuevos usuarios, seguido por la instalación de cargas adicionales como Velociraptor para cifrar archivos. Curtis explicó que los atacantes suelen instalar archivos y esperar entre 6 y 7 días antes de actuar, lo que causa que algunos clientes experimenten compromisos incluso después de actualizar, ya que la brecha inicial ocurrió antes de la actualización.
Vulnerabilidades en SmarterMail
No está claro cuál fue la vulnerabilidad de SmarterMail que utilizaron los atacantes, pero se han detectado múltiples fallos en el software de correo electrónico, como CVE-2025-52691 (puntuación CVSS: 10.0), CVE-2026-23760 y CVE-2026-24423 (puntuaciones CVSS: 9.3). CVE-2026-23760 es un fallo de bypass de autenticación que podría permitir a cualquier usuario restablecer la contraseña del administrador del sistema SmarterMail mediante una solicitud HTTP especialmente elaborada. Por su parte, CVE-2026-24423 explota una debilidad en el método ConnectToHub API para lograr ejecución remota de código (RCE) no autenticada.
Recomendaciones de seguridad
Estas vulnerabilidades fueron solucionadas por SmarterTools en la versión 9511. La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) confirmó que CVE-2026-24423 estaba siendo explotada en ataques de ransomware. Un informe de la empresa de ciberseguridad ReliaQuest identificó actividades que probablemente están vinculadas a Warlock y que implican el abuso de CVE-2026-23760 para eludir la autenticación y desplegar la carga de ransomware en sistemas expuestos a Internet.
Los usuarios de SmarterMail deben actualizar a la última versión (Build 9526) de manera inmediata para garantizar una protección óptima y aislar los servidores de correo electrónico para prevenir intentos de movimiento lateral utilizados para desplegar ransomware. La rápida explotación de estas vulnerabilidades resalta la importancia de mantener actualizados los sistemas para protegerse contra amenazas emergentes.