Hace mucho tiempo que alguien en nuestra compañía descargó una copia de Windows Server infectada del sitio de torrent y la mantuvo como servidor de prueba en nuestra red hasta ahora. Recientemente, nuestro administrador notó un gran tráfico saliente desde esa computadora, comenzó a excavar y descubrió que el sistema infectado contenía un usuario del sistema operativo que estaba presente en la instalación original del sistema operativo, que básicamente instaló unos 5 GB de aplicaciones de forzados brutos y recolectó (no muy impresionante) una cantidad de credenciales robadas incluyendo:
- Cuentas robadas de sitios no muy populares como bluebella.com (sitio de lencería) y algunos sitios relacionados con el dinero. Algunas de estas cuentas están aparentemente vinculadas a tarjetas de crédito con cantidades mínimas de dinero
- Credenciales RDP robadas de usuarios en diferentes direcciones IP
- Otras credenciales robadas en diferentes IP: puertos (en su mayoría fáciles de adivinar contraseñas como root_user: pwd123456 etc.)
Así que todo esto parece que nuestra computadora era parte de una botnet. Sin embargo, el pirata informático estaba haciendo esto de forma bastante manual, ya que los archivos txt con credenciales e imágenes tienen nombres no automatizados.
Mi pregunta es: además de reinstalar el sistema operativo y revisar muchas otras cosas de seguridad, ¿cuáles son las acciones correctas con respecto a las cuentas robadas? ¿Deberíamos intentar contactar sitios web con cuentas pirateadas y / o usuarios con computadoras pirateadas? ¿Hay alguna forma eficiente de hacerlo sin gastar el tiempo de nuestros administradores y profundizar en cientos de sitios web / cuentas?