O grupo de ransomware conhecido como Warlock realizou um ataque contra a empresa SmarterTools, explorando uma instância vulnerável do SmarterMail, seu próprio servidor de e-mail corporativo. O ponto de entrada foi uma máquina virtual esquecida, executando uma versão desatualizada do software, que não havia recebido os patches de segurança mais recentes. O incidente ocorreu no final de janeiro de 2026 e foi confirmado pela própria SmarterTools.
A empresa afirmou que, embora boa parte de seus sistemas estivesse atualizada, um servidor isolado e antigo ainda executava o SmarterMail em estado vulnerável, o que permitiu o comprometimento inicial. A falha explorada foi identificada como CVE-2026-23760, uma vulnerabilidade crítica que permite bypass de autenticação no SmarterMail. Essa brecha possibilitou que os atacantes obtivessem acesso administrativo ao sistema de e-mail e, a partir daí, movimentação lateral para outros ativos internos.
Uma vez dentro da rede, o grupo Warlock conseguiu comprometer servidores Windows, utilizando ferramentas de administração remota para mapear o ambiente, capturar credenciais e preparar o terreno para a possível implantação de ransomware ou roubo de dados sensíveis. A empresa confirmou que servidores internos relacionados a testes, controle de qualidade e algumas operações administrativas foram afetados. A maioria dos servidores Linux não apresentou sinais de comprometimento, mas máquinas Windows foram impactadas diretamente. Após a detecção do ataque, a SmarterTools respondeu isolando a infraestrutura afetada, desabilitando acessos externos e iniciando um processo de recuperação com base em backups recentes. Medidas adicionais de contenção e investigação forense também foram aplicadas.
