Un computer della nostra rete è stato violato e rubato centinaia di account su siti Web diversi: quali sono i passaggi corretti da intraprendere?

3

Qualcuno nella nostra azienda molto tempo fa ha scaricato la copia infetta di Windows Server dal sito torrent e l'ha conservata come server di test nella nostra rete fino ad ora. Di recente, il nostro amministratore ha notato un enorme traffico in uscita da quel computer, ha iniziato a scavare e ha scoperto che il sistema infetto conteneva l'utente del sistema operativo presente nell'installazione del sistema operativo originale che fondamentalmente installava circa 5 GB di app per brute-force e raccolto (non molto impressionante) una certa quantità di credenziali rubate, tra cui:

  1. Account rubati di siti non molto popolari come bluebella.com (sito di lingerie) e alcuni siti relativi ai soldi. Alcuni di questi account sono apparentemente legati a carte di credito con importi minimi di denaro
  2. Credenziali RDP rubate di utenti con indirizzi IP diversi
  3. Altre credenziali rubate su IP diversi: porte (per lo più facili da indovinare password come root_user: pwd123456 ecc.)

Quindi sembra tutto come se il nostro computer fosse parte di botnet. Tuttavia, l'hacker stava facendo questo in modo abbastanza manuale, perché i file txt con credenziali e immagini sono nominati in modo non automatico.

La mia domanda è : oltre a reinstallare il SO e controllare molte altre cose sulla sicurezza, quali sono le azioni corrette riguardanti gli account rubati? Dovremmo provare a contattare siti Web con account hackerati e / o utenti con computer hackerato? Ci sono modi efficaci per farlo senza passare il tempo dei nostri amministratori e scavare attraverso centinaia di siti Web / account?

    
posta TheDeveloper 05.04.2017 - 18:29
fonte

1 risposta

4

La cosa migliore è creare un'immagine forense del sistema compromesso, annotare l'hash e memorizzarlo in modo sicuro per riferimento futuro se un ente governativo ti rintraccia l'attività illegale.

Informare i proprietari dei siti Web non sarebbe di grande utilità dato che i fornitori di servizi di piccole dimensioni si preoccupano appena della violazione della sicurezza a meno che il loro sito web non venga cancellato. Comunque vale la pena provare.

Dovresti anche consultare il tuo ufficio legale e decidere se divulgare o meno l'incidente alle forze dell'ordine.

    
risposta data 05.04.2017 - 18:56
fonte

Leggi altre domande sui tag