Ransomware ไม่ได้เกิดขึ้นทันทีทันใด — ก่อนที่ไฟล์จะถูกเข้ารหัส มักมี ระยะ "dwell time" ที่ attacker อยู่ในระบบโดยไม่ถูกตรวจพบเฉลี่ย 21 วัน ตามรายงาน Mandiant 2025 ในช่วงเวลานั้น มีสัญญาณหลายอย่างที่ระบบ EDR ที่ดีควรจับได้ก่อนที่ความเสียหายจะเกิดขึ้น
องค์กรไทยกว่า 68% ที่โดน ransomware ไม่มี EDR ที่ตั้งค่าอย่างถูกต้อง — พบจากการ audit ของทีม CyberAlpha ในปี 2568
สัญญาณที่ 1: พฤติกรรม Process ผิดปกติกลางดึก
Process ที่ไม่คุ้นเคยรันตอนนอกเวลาทำงาน
Ransomware มักถูกออกแบบให้ทำงานนอกเวลา เช่น ตี 2–4 เพื่อหลบหลีกการตรวจสอบ หาก EDR แจ้งเตือนว่ามี cmd.exe, powershell.exe หรือ process แปลกปลอมรันในชั่วโมงที่ไม่ปกติ อย่ามองข้าม
สิ่งที่ต้องดูเพิ่มเติมคือ parent-child process relationship — ตัวอย่างที่น่าสงสัยมากคือ Word.exe spawn powershell.exe ซึ่งในการใช้งานปกติไม่ควรเกิดขึ้น นี่คือสัญญาณของ macro-based malware ที่พบบ่อยใน BEC และ ransomware campaign
สัญญาณที่ 2: การ Enumerate ไฟล์และโฟลเดอร์จำนวนมาก
มีการสแกนไฟล์จำนวนมากในเวลาสั้น
ก่อนเข้ารหัส ransomware ต้อง "รู้จักเหยื่อ" ก่อน — จะทำการ enumerate ไฟล์ทั้งหมดบน drive และ network share เพื่อสร้าง target list EDR ควรตรวจจับ file system access ที่ผิดปกติ เช่น process เดียวเปิดไฟล์หลายพันไฟล์ในเวลาไม่กี่นาที
ตัวอย่าง Log ที่น่าสงสัย
ถ้าเห็น log แบบนี้ใน SIEM ให้ investigate ทันที:
- Process เดียวเปิด
ReadFileมากกว่า 5,000 ครั้งใน 60 วินาที - การ access ไฟล์ข้าม network share หลาย path พร้อมกัน
- การ query registry key เกี่ยวกับ backup software (attacker มักปิด backup ก่อนเข้ารหัส)
สัญญาณที่ 3: Shadow Copy ถูกลบ
คำสั่ง vssadmin หรือ wmic ถูกรัน
นี่คือ red flag ระดับสูงสุด — เกือบทุก ransomware strain จะรัน vssadmin delete shadows /all หรือ wmic shadowcopy delete เพื่อทำลาย Windows Shadow Copy ก่อนเข้ารหัส เพื่อป้องกันการ restore หาก EDR ตรวจจับ command เหล่านี้ ต้อง isolate เครื่องทันที
หากพบ vssadmin delete shadows หรือ bcdedit /set {default} recoveryenabled No บน endpoint ใดก็ตาม ให้ถือว่าระบบถูก compromise แล้ว และเริ่ม Incident Response ทันที
สัญญาณที่ 4: การเข้ารหัสไฟล์ทดสอบ (Canary Files)
ไฟล์ .txt หรือ .docx ถูกเปลี่ยน extension แปลกๆ
ก่อนเริ่มเข้ารหัสจริง ransomware บางตัวจะ "ทดสอบ" โดยเข้ารหัสไฟล์เล็กๆ ไม่กี่ไฟล์ก่อน เพื่อตรวจสอบว่าสามารถเขียนกลับได้ — EDR ที่มี behavioral analysis ควรจับ pattern นี้ได้ก่อนที่จะ scale ขึ้น เทคนิคหนึ่งที่ทีมเราแนะนำคือการวาง "canary file" ในโฟลเดอร์สำคัญเพื่อตรวจจับการเปลี่ยนแปลงที่ผิดปกติ
สัญญาณที่ 5: Lateral Movement และการ Escalate Privilege
มีการล็อกอิน credential ผิดปกติหรือ account privilege ที่เปลี่ยนไป
Ransomware ที่อันตรายที่สุดในปัจจุบัน เช่น BlackCat, LockBit 3.0 จะทำ lateral movement ก่อน — พยายามเข้าถึง domain controller, backup server และ network share สำคัญให้ได้ก่อนจะกด "detonate" ทั่วทั้งองค์กร สัญญาณที่ต้องดูคือ: การใช้ credential ของ admin account ในเวลาผิดปกติ, การ access remote desktop protocol (RDP) จาก IP ภายในที่ไม่ปกติ
Checklist: สิ่งที่ EDR ต้องตรวจจับได้
- Process spawn chain ที่ผิดปกติ (เช่น Office → PowerShell)
- คำสั่ง vssadmin / wmic / bcdedit ที่เกี่ยวกับ shadow copy
- File enumeration จำนวนมากในเวลาสั้น
- การเปลี่ยน extension ไฟล์เป็น string แปลกปลอม
- Credential usage ที่ผิดปกติ (เวลา, IP, account)
- การปิด / uninstall security software
- Network connection ออกไป C2 server ที่น่าสงสัย
- Registry modification เกี่ยวกับ startup / persistence
ถ้าพบสัญญาณเหล่านี้ ทำอะไรทันที?
เมื่อพบสัญญาณที่น่าสงสัย อย่ารอให้ครบหลายข้อก่อน — ทำตามขั้นตอนนี้ทันที:
- Isolate endpoint — ตัด network ออกจากระบบอื่น แต่อย่าปิดเครื่อง (เพื่อเก็บ volatile memory)
- แจ้งทีม IT/Security ทันที — อย่าพยายาม investigate คนเดียว
- อย่า reboot — ข้อมูลสำคัญใน RAM อาจหายไปถ้า reboot
- ตรวจสอบ backup ล่าสุด — ยืนยันว่า backup ยังใช้ได้และไม่ถูก compromise
- โทรหา Incident Response team — หากไม่มีทีมในองค์กร โทร Emergency Hotline 063 446 7505
การมี EDR ที่ตั้งค่าถูกต้องและมี SOC monitoring 24/7 ช่วยลด mean time to detect (MTTD) จากเฉลี่ย 21 วัน เหลือต่ำกว่า 4 ชั่วโมง — ความแตกต่างระหว่างเหตุการณ์เล็กๆ กับ disaster
ต้องการตรวจสอบ EDR ขององค์กรคุณ?
ทีมวิศวกรของเราสามารถ audit การตั้งค่า EDR และทดสอบ detection capability ขององค์กรคุณได้ฟรี — พร้อมรายงานและคำแนะนำที่ปฏิบัติได้จริง