Windows – всё? SmarterTools так сильно обиделась на хакеров, что просто удалила Microsoft из своей жизни
SmarterTools раскрыла подробности взлома своей инфраструктуры группировкой Warlock Group.
Компания SmarterTools раскрыла подробности недавнего взлома своей инфраструктуры и рассказала, как именно злоумышленники проникли в сеть и что происходило после этого. Инцидент начался с одного забытого виртуального сервера с почтовой системой, который долго не обновлялся. Именно он стал точкой входа для атаки.
По данным компании, в сети использовалось около 30 серверов с почтовым сервером SmarterMail. Один из них был развернут сотрудником отдельно и не получал обновления безопасности. Через него злоумышленники получили доступ к части внутренней сети. При этом основные сервисы, включая сайт, систему покупок и портал клиентов, продолжили работать. Данные учетных записей и бизнес-приложения не пострадали.
Атака затронула офисную сеть и отдельную площадку обработки данных, где располагались лабораторные стенды и система поддержки клиентов. Часть серверов там была восстановлена из резервных копий, сделанных за шесть часов до обнаружения вторжения. В компании заявили, что пострадали примерно 12 серверов на базе Windows, тогда как системы на базе Linux не были затронуты. После обнаружения подозрительной активности все серверы на двух площадках были немедленно отключены от сети до полной проверки.
После инцидента инфраструктуру заметно перестроили. Где возможно отказались от Windows и полностью убрали службы каталога Active Directory. Также были принудительно заменены пароли по всей сети. Отдельно в SmarterTools отметили эффективность защитного решения SentinelOne, которое помогло выявить уязвимости и предотвратить попытки шифрования данных.
Компания напомнила, что исправления уязвимостей уже включены в сборку SmarterMail 9518 от 15 января 2026 года. В более новой сборке 9526 добавлены дополнительные улучшения и закрыты менее критичные проблемы, найденные во время внутреннего аудита. Разработчики подчеркивают, что даже небольшие обновления безопасности важны, так как помогают предотвращать атаки на отказ в обслуживании и перегрузку серверов.
Специалисты также описали поведение атакующей группы, известной как Warlock Group. После проникновения злоумышленники обычно выжидают 6-7 дней, а затем начинают активные действия. Поэтому в ряде случаев компрометация происходила уже после установки обновлений. Чаще всего атакующие пытаются получить контроль над сервером каталога Active Directory, создают новые учетные записи и распространяют по серверам на базе Windows инструменты удаленного доступа и программы для последующего шифрования данных. Они размещают файлы в общих папках, каталогах AppData и ProgramData, а также в директориях SmarterMail, используют случайные имена файлов и поддельные служебные задачи.
В SmarterTools отмечают, что подобные группы активно используют уязвимости в самых разных продуктах, включая корпоративные платформы совместной работы и системы резервного копирования. При этом внешне это могут быть вполне легитимные приложения, установленные на сервере заранее.
На текущий момент разработчик сообщает, что критических незакрытых уязвимостей в SmarterMail не обнаружено. Компания пообещала повысить прозрачность публикации уведомлений о проблемах безопасности и заявила, что время ответа службы поддержки уже сократилось с нескольких дней до нескольких часов.