¿Windows, eso es todo? SmarterTools se enfadó tanto con los hackers que simplemente borró a Microsoft de su vida
SmarterTools revela detalles del ciberataque a su infraestructura perpetrado por el grupo Warlock
La empresa SmarterTools reveló los detalles del reciente hackeo de su infraestructura y explicó cómo los atacantes accedieron a la red y qué ocurrió después. El incidente comenzó con un servidor virtual olvidado con un sistema de correo que llevaba mucho tiempo sin actualizarse. Fue ese servidor el punto de entrada del ataque.
Según la empresa, en la red se utilizaban alrededor de 30 servidores con SmarterMail como servidor de correo. Uno de ellos fue desplegado por un empleado por separado y no recibía actualizaciones de seguridad. A través de él los atacantes obtuvieron acceso a parte de la red interna. Aun así, los servicios principales, incluido el sitio web, el sistema de compras y el portal de clientes, continuaron funcionando. Los datos de las cuentas y las aplicaciones empresariales no resultaron afectados.
El ataque afectó a la red de oficinas y a un sitio separado de procesamiento de datos, donde se encontraban los bancos de pruebas de laboratorio y el sistema de soporte al cliente. Parte de los servidores allí se restauraron a partir de copias de seguridad hechas seis horas antes del descubrimiento de la intrusión. La empresa declaró que resultaron afectadas aproximadamente 12 servidores con Windows, mientras que los sistemas con Linux no se vieron afectados. Tras detectar actividad sospechosa, todos los servidores en ambos sitios se desconectaron de la red de inmediato hasta completar la revisión.
Tras el incidente se reconfiguró notablemente la infraestructura. Siempre que fue posible se abandonó Windows y se eliminaron por completo los servicios del directorio Active Directory. Además se forzó el cambio de contraseñas en toda la red. Por separado, SmarterTools destacó la eficacia de la solución de protección SentinelOne, que ayudó a detectar vulnerabilidades y a prevenir intentos de cifrado de datos.
La empresa recordó que las correcciones de vulnerabilidades ya están incluidas en la compilación SmarterMail 9518 del 15 de enero de 2026. En la compilación más reciente, 9526, se añadieron mejoras adicionales y se cerraron problemas menos críticos encontrados durante la auditoría interna. Los desarrolladores subrayan que incluso las pequeñas actualizaciones de seguridad son importantes, ya que ayudan a prevenir ataques de denegación de servicio y la sobrecarga de servidores.
Los especialistas también describieron el comportamiento del grupo atacante conocido como Warlock Group. Tras la intrusión, los atacantes suelen esperar entre 6 y 7 días y luego comienzan las acciones activas. Por eso, en varios casos la compromisión ocurrió ya después de la instalación de actualizaciones. Con mayor frecuencia los atacantes intentan obtener el control del servidor de directorio Active Directory, crean nuevas cuentas y distribuyen por los servidores Windows herramientas de acceso remoto y programas para el posterior cifrado de datos. Colocan archivos en carpetas compartidas, en los directorios AppData y ProgramData, así como en los directorios de SmarterMail; usan nombres de archivo aleatorios y tareas de servicio falsas.
En SmarterTools señalan que grupos similares explotan activamente vulnerabilidades en una gran variedad de productos, incluidas plataformas corporativas de colaboración y sistemas de copia de seguridad. A simple vista, esas aplicaciones pueden ser totalmente legítimas y estar instaladas previamente en el servidor.
En la actualidad el desarrollador informa que no se han detectado vulnerabilidades críticas sin corregir en SmarterMail. La empresa prometió aumentar la transparencia en la publicación de avisos sobre problemas de seguridad y afirmó que el tiempo de respuesta del servicio de soporte ya se redujo de varios días a varias horas.