Hacer análisis forense.
Capture el tráfico de su red local.
Analice el tráfico, localice cualquier conexión anómala, ¿hay alguna máquina que se comunique con Dominios o IP maliciosos?
Desde ese punto de vista, puede ubicar las computadoras comprometidas.
Aísla esas máquinas, captura imágenes. (Fecha / hora, unidades, cachés, memoria, etc.)
Capture los registros del sistema, vea quién se ha comprometido primero, luego puede identificar quién es el origen del brote.
Erradique las máquinas infectadas o, mejor dicho, límpielos, vuélvalos a visualizar.
Lecciones aprendidas:
Implementar firewalls / IDS / IPS / Anti-Malware Softwares
Haz un enfoque de defensa en profundidad.