Na semana passada, SmarterTools confirmou o que já haviam começado a suspeitar de vários equipamentos de resposta: um servidor de e-mail que não estava atualizado serviu de porta de entrada para o grupo de ransomware conhecido como Warlock ou Storm-2603. O incidente, que a empresa coloca em 29 de janeiro de 2026, explodiu uma instância de SmarterMail que não tinha recebido os adesivos mais recentes e permitiu que os atacantes se movimentassem dentro da rede.
Segundo os comunicados oficiais da própria SmarterTools, o vetor inicial não foi uma sofisticada cadeia de exploits desconhecida, mas a existência de uma máquina virtual esquecida por processos internos de atualização. Esse único equipamento, configurado por um empregado, ficou fora do ciclo de adesivos e proporcionou o acesso que os operadores do grupo precisavam para escalar privilégios e implantar ferramentas maliciosas no ambiente. Você pode ler a explicação da empresa em seu portal comunitário aqui.
O alcance técnico do ataque descreve uma tática já vista em campanhas recentes: os intrusos não atuam imediatamente para cifrar e reclamar resgate, mas permanecem em silêncio o suficiente para garantir persistência e preparar o cenário. SmarterTools indica que os atacantes esperaram vários dias antes de tomar o controle do servidor do Active Directory, criar contas e colocar cargas úteis adicionais como o Velociraptor e um componente de cifra. Esse período de latência explica por que alguns clientes detectaram atividade maliciosa após a aplicação de adesivos: a intrusão inicial ocorreu antes da atualização e só as cargas foram ativadas em uma fase posterior.
As consequências não foram triviais. A empresa confirmou que uma dúzia de servidores Windows na rede de escritórios e um centro de dados secundário usado para testes de controle de qualidade foram afetados. Além disso, a operação impactou clientes hospedados que usam o SmarterTrack; a SmarterTools fez com que o problema não foi uma falha no SmarterTrack como produto, mas as plataformas alojadas foram mais acessíveis da rede comprometida após o acesso inicial. SmarterTools detalha sua avaliação e recomendações em outra nota do portal comunitário disponível aqui.
Do ponto de vista técnico, há duas vulnerabilidades no SmarterMail que receberam atenção pela sua exploração ativa. Uma permite contornar a autenticação e restabelecer a senha do administrador, enviando um pedido de HTTP manipulado; a outra ataca a API ConnectToHub para obter execução remota sem autenticação. Ambos os erros oferecem caminhos distintos, mas com o mesmo objetivo: obter controle do sistema. SmarterTools corrigiu estas falhas em uma versão posterior e recomenda atualizar à mais recente, que você pode consultar em suas notas de versão aqui.
Os relatórios de inteligência que acompanharam o incidente fornecem detalhes relevantes sobre a cadeia de exploração. ReliaQuest, por exemplo, descreveu como a campanha ligada ao Storm-2603 abusou da vulnerabilidade de restabelecimento de senhas para instalar um instalador MSI malicioso hospedado em Supabase, que por sua vez colocou Velociraptor para manter acesso e preparar a cifra. Você pode ler sua análise técnica em seu blog aqui. Além disso, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA (CISA) já assinalaram a exploração activa de uma dessas vulnerabilidades, o que sublinha a urgência de mitigação a nível global; o seu catálogo de vulnerabilidades exploradas oferece contexto sobre como estas falhas são priorizadas por risco e exploração real ( KEV catalog — CISA).
Além do nome do malware e das CVE, há uma lição operacional muito clara: os atacantes estão a definir sua metodologia para "misturar" com o tráfego administrativo legítimo. Em vez de depender apenas de exploits barulhentos que disparam alarmes, a campanha encadeia uma falha de autenticação com funções legítimas do software, como a montagem de volumes, para executar código e permanecer desapercebida. Essa tática reduz a eficácia de muitas detecções que buscam padrões clássicos de RCE e obriga a defesas mais holísticas que incluam telemetria de atividade administrativa e detecção de ferramentas de persistência.
Se você gerencia o SmarterMail, a primeira medida imperativa é atualizar quanto antes à versão recomendada pelo fornecedor. Actualizar não é um gesto simbólico: fecha vetores que estão sendo weaponizados ativamente. Ao mesmo tempo, é imprescindível segregar os servidores de correio de outros ativos críticos, limitar a exposição à Internet e aplicar controlos de rede que impeçam o movimento lateral em caso de compromisso. A monitoração do Active Directory e a busca de artefatos de persistência - por exemplo serviços, tarefas programadas ou binários incomuns como Velociraptor - são passos que devem fazer parte de uma resposta rápida.
Finalmente, não convém dormir nos laureis por comunicados tranquilizadores: embora o SmarterTools tenha indicado que o seu site, a passarela de compras, o portal de contas e certos serviços não foram comprometidos, a realidade do incidente mostra como uma única VM esquecida pode afetar sistemas conectados e clientes hospedados. A melhor defesa continua a ser uma combinação de higiene (parches, segmentação, cópias de segurança offline), monitorização franca de sinais de intrusão e planos de resposta que permitam conter e erradicar atores que já tenham alcançado acesso. Para aqueles que querem aprofundar a forma como estas vulnerabilidades estão sendo exploradas e o que procurar em ambientes comprometidos, análises de ReliaQuest e avisos de fornecedores e agências como a CISA são leituras recomendadas.
Se precisar, posso ajudá-lo a traduzir essas recomendações para uma lista de verificação prática para equipamentos técnicos ou a elaborar uma comunicação para clientes que explique os passos a seguir após a atualização.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...