Una computadora en nuestra red fue pirateada y robó cientos de cuentas en diferentes sitios web. ¿Cuáles son los pasos correctos a seguir?

3

Hace mucho tiempo que alguien en nuestra compañía descargó una copia de Windows Server infectada del sitio de torrent y la mantuvo como servidor de prueba en nuestra red hasta ahora. Recientemente, nuestro administrador notó un gran tráfico saliente desde esa computadora, comenzó a excavar y descubrió que el sistema infectado contenía un usuario del sistema operativo que estaba presente en la instalación original del sistema operativo, que básicamente instaló unos 5 GB de aplicaciones de forzados brutos y recolectó (no muy impresionante) una cantidad de credenciales robadas incluyendo:

  1. Cuentas robadas de sitios no muy populares como bluebella.com (sitio de lencería) y algunos sitios relacionados con el dinero. Algunas de estas cuentas están aparentemente vinculadas a tarjetas de crédito con cantidades mínimas de dinero
  2. Credenciales RDP robadas de usuarios en diferentes direcciones IP
  3. Otras credenciales robadas en diferentes IP: puertos (en su mayoría fáciles de adivinar contraseñas como root_user: pwd123456 etc.)

Así que todo esto parece que nuestra computadora era parte de una botnet. Sin embargo, el pirata informático estaba haciendo esto de forma bastante manual, ya que los archivos txt con credenciales e imágenes tienen nombres no automatizados.

Mi pregunta es: además de reinstalar el sistema operativo y revisar muchas otras cosas de seguridad, ¿cuáles son las acciones correctas con respecto a las cuentas robadas? ¿Deberíamos intentar contactar sitios web con cuentas pirateadas y / o usuarios con computadoras pirateadas? ¿Hay alguna forma eficiente de hacerlo sin gastar el tiempo de nuestros administradores y profundizar en cientos de sitios web / cuentas?

    
pregunta TheDeveloper 05.04.2017 - 18:29
fuente

1 respuesta

4

Lo mejor es crear una imagen forense del sistema comprometido, anotar el hash y almacenarlo de forma segura para futuras referencias si alguna agencia gubernamental lo rastrea a la actividad ilegal.

Informar a los propietarios del sitio web no sería de mucha utilidad, ya que los pequeños proveedores de servicios apenas se preocupan por la violación de la seguridad a menos que su sitio web esté desfigurado. Sin embargo, vale la pena intentarlo.

También debe consultar a su departamento legal y decidir si divulgar o no el incidente a la policía.

    
respondido por el hax 05.04.2017 - 18:56
fuente

Lea otras preguntas en las etiquetas