Búsqueda con indicadores de compromiso (IOC)
Revisar las Group Policy Object (GPO) que se crearon o modificaron con origen desconocido.
Escanear con un antivirus los equipos de la red donde se encontraban los equipos comprometidos.
En estos casos se pueden utilizar las reglas Yara para identificar posibles artefactos maliciosos. Yara es una herramienta destinada a identificar y clasificar muestras de malware.
En caso de detectar un posible artefacto verificar el hash en Virustotal, es importante no subir el binario para no dejar un registro en el sitio sobre esta detección y de esta manera estaremos alertando a quien ataca de que ha sido detectado su compromiso.
Revisar si hubo algún incremento de tráfico de red saliente a una IP de destino desconocido para verificar si hubo una posible fuga de información.