DFIR, einfach: Antivirenprogramm als Kanarienvogel in der Mine
Bei der Untersuchung erfolgreicher Ransomware-Angriffe werden unter anderem die Protokolle der verwendeten Antivirenprogramme gesammelt und ausgewertet. Häufig enthalten diese die ersten Anzeichen des Versuchs der Angreifer, sich in der IT-Umgebung festzusetzen, mehr über die Umgebung zu erfahren und bestehende Privilegien zu eskalieren.