Qualcuno nella nostra azienda molto tempo fa ha scaricato la copia infetta di Windows Server dal sito torrent e l'ha conservata come server di test nella nostra rete fino ad ora. Di recente, il nostro amministratore ha notato un enorme traffico in uscita da quel computer, ha iniziato a scavare e ha scoperto che il sistema infetto conteneva l'utente del sistema operativo presente nell'installazione del sistema operativo originale che fondamentalmente installava circa 5 GB di app per brute-force e raccolto (non molto impressionante) una certa quantità di credenziali rubate, tra cui:
- Account rubati di siti non molto popolari come bluebella.com (sito di lingerie) e alcuni siti relativi ai soldi. Alcuni di questi account sono apparentemente legati a carte di credito con importi minimi di denaro
- Credenziali RDP rubate di utenti con indirizzi IP diversi
- Altre credenziali rubate su IP diversi: porte (per lo più facili da indovinare password come root_user: pwd123456 ecc.)
Quindi sembra tutto come se il nostro computer fosse parte di botnet. Tuttavia, l'hacker stava facendo questo in modo abbastanza manuale, perché i file txt con credenziali e immagini sono nominati in modo non automatico.
La mia domanda è : oltre a reinstallare il SO e controllare molte altre cose sulla sicurezza, quali sono le azioni corrette riguardanti gli account rubati? Dovremmo provare a contattare siti Web con account hackerati e / o utenti con computer hackerato? Ci sono modi efficaci per farlo senza passare il tempo dei nostri amministratori e scavare attraverso centinaia di siti Web / account?