Playbook: แรนซัมแวร์ (Ransomware)¶

ID: PB-02 ระดับความรุนแรง: วิกฤต | หมวดหมู่: การโจมตี MITRE ATT&CK: T1486 (Data Encrypted for Impact), T1489 (Service Stop) ทริกเกอร์: EDR alert, ผู้ใช้รายงานไฟล์ถูกเข้ารหัส, Ransom note, Canary file triggered

🚨 ห้ามจ่ายค่าไถ่ โดยไม่ปรึกษา Legal + CISO — การจ่ายไม่รับประกันการกู้คืน

ผังการตัดสินใจ¶

graph TD
    Alert["🚨 Ransomware"] --> Scope{"📊 ขอบเขต?"}
    Scope -->|เครื่องเดียว| Single["🟠 Isolate + Investigate"]
    Scope -->|หลายเครื่อง/server| Multi["🔴 Major Incident"]
    Scope -->|AD/DC ถูกเข้ารหัส| Critical["🔴🔴 ทั้งองค์กร"]
    Single --> Contain["🔒 Isolate Host"]
    Multi --> Contain
    Critical --> War["🏢 War Room — CEO/CISO/Legal"]
    Contain --> Backup{"💾 Backup สะอาด?"}
    Backup -->|ใช่| Restore["♻️ กู้คืน"]
    Backup -->|ไม่| Decrypt["🔑 ตรวจ Decryptor"]

หลังเหตุการณ์ (Post-Incident)¶

ทดสอบการ restore จาก backup ให้สมบูรณ์
ใช้ 3-2-1 backup strategy
ทบทวน endpoint hardening (macros, RDP, PowerShell)
ใช้ network segmentation ป้องกัน lateral movement
จัด awareness training เรื่อง phishing/ransomware
จัดทำ Incident Report

1. การวิเคราะห์¶

1.1 รายการตรวจสอบ¶

รายการ	วิธีตรวจสอบ	เสร็จ
ตระกูลแรนซัมแวร์ (ชื่อ, ransom note)	ID Ransomware	☐
จำนวนเครื่อง/server ที่ได้รับผลกระทบ	EDR / SIEM	☐
Entry vector (phishing/RDP/exploit)	EDR timeline	☐
มี data exfiltration ก่อนเข้ารหัส? (double extortion)	Netflow / DLP	☐
Backup ปลอดภัย? (offline / immutable?)	Backup team	☐
AD/DC ได้รับผลกระทบ?	AD admin	☐
มี decryptor ฟรี?	NoMoreRansom.org	☐

1.2 กลุ่มแรนซัมแวร์และพฤติกรรม¶

กลุ่ม	Double Extortion	สร้างบน
LockBit 3.0	✅	Builder leaked
BlackCat/ALPHV	✅	Rust
Cl0p	✅ (MOVEit, GoAnywhere)	File transfer exploit
PLAY	✅	—
Royal/BlackSuit	✅	—

2. การควบคุม¶

#	การดำเนินการ	เสร็จ
1	Isolate ทุกเครื่องที่ได้รับผลกระทบ (EDR networkquarantine)	☐
2	ตัด internet access ขาออก (ป้องกันเข้ารหัสเพิ่ม)	☐
3	รีเซ็ตรหัสผ่าน KRBTGT (2 ครั้ง) ถ้า AD ถูกบุกรุก	☐
4	ปิด RDP ภายนอกทั้งหมด	☐
5	ตรวจ backup — ยังสะอาด? Disconnect backup!	☐
6	แจ้ง Executive / Legal ทันที	☐

3. การกำจัด¶

#	การดำเนินการ	เสร็จ
1	ลบมัลแวร์ + persistence ทั้งหมด	☐
2	ล้าง GPO/script ที่ใช้กระจายมัลแวร์	☐
3	หมุนเวียน credentials ทั้งหมด (admin, service accounts)	☐
4	รีเซ็ต KRBTGT (ถ้ายังไม่ได้ทำ)	☐

ผังลำดับการกู้คืน¶

graph LR
    A["1️⃣ AD/DC"] --> B["2️⃣ DNS/DHCP"]
    B --> C["3️⃣ Critical Servers"]
    C --> D["4️⃣ Business Apps"]
    D --> E["5️⃣ Workstations"]
    style A fill:#ff4444,color:#fff
    style B fill:#ff6600,color:#fff
    style C fill:#ff9900,color:#fff
    style D fill:#ffcc00,color:#000
    style E fill:#88cc00,color:#000

ผังสื่อสารระหว่างเหตุการณ์¶

sequenceDiagram
    participant SOC
    participant CISO
    participant Legal
    participant PR
    participant CEO
    SOC->>CISO: 🚨 ยืนยัน Ransomware
    CISO->>Legal: ประเมิน PDPA / กฎหมาย
    CISO->>CEO: แจ้ง BCP activation
    Legal->>CISO: แนะนำการจ่ายค่าไถ่ / แจ้งเตือน
    CISO->>PR: เตรียมแถลงการณ์ (ถ้าจำเป็น)
    PR->>CEO: อนุมัติแถลงการณ์
    SOC->>CISO: อัปเดตสถานะทุก 2 ชม.

4. การฟื้นฟู¶

#	การดำเนินการ	เสร็จ
1	กู้คืนจาก backup (ตรวจสอบว่าสะอาดก่อน)	☐
2	กู้คืน AD/DC ก่อน → จากนั้น server → workstation	☐
3	ใช้ immutable backups (3-2-1 rule)	☐
4	Deploy EDR ทุกเครื่อง + ปิด RDP ภายนอก	☐
5	Tabletop exercise ทุก 6 เดือน	☐

5. เกณฑ์การยกระดับ¶

เงื่อนไข	ยกระดับไปยัง
ยืนยัน ransomware	CISO + Major Incident ทันที
AD/DC ถูกเข้ารหัส	CEO, Legal, PR
Data exfiltration (double extortion)	Legal + DPO (PDPA 72 ชม.)
ธุรกิจหยุดชะงัก	BCP team + Executive
กลุ่ม ransomware เผยแพร่ข้อมูล	PR + Legal + Law Enforcement

ผัง 3-2-1 Backup Strategy¶

graph TD
    Backup["💾 3-2-1 Backup"] --> Three["📋 3 copies"]
    Three --> Two["🗄️ 2 types of media"]
    Two --> One["☁️ 1 offsite/air-gapped"]
    One --> Test["🧪 Test restore monthly"]
    Test --> Immutable["🔒 Immutable backup"]
    style Backup fill:#3498db,color:#fff
    style Immutable fill:#27ae60,color:#fff

ผังตัดสินใจ Ransom Payment¶

graph TD
    Pay{"💰 จ่ายค่าไถ่?"} -.->|⚠️ ไม่แนะนำ| Risks["❌ ความเสี่ยง"]
    Pay --> Legal["⚖️ Legal consult"]
    Risks --> R1["ไม่รับประกัน decryption"]
    Risks --> R2["สนับสนุนอาชญากรรม"]
    Risks --> R3["อาจจ่ายซ้ำ"]
    Legal --> CISO["🧑‍💼 CISO ตัดสินใจ"]
    CISO --> Recovery["♻️ Recovery Plan"]
    style Pay fill:#e74c3c,color:#fff
    style Risks fill:#c0392b,color:#fff
    style Recovery fill:#27ae60,color:#fff

กฎตรวจจับ (Sigma)¶

กฎ	ไฟล์
Ransomware Bulk Renaming	file_bulk_renaming_ransomware.yml
PowerShell Encoded Command	proc_powershell_encoded.yml
Execution from Temp/Downloads	proc_temp_folder_execution.yml

เอกสารที่เกี่ยวข้อง¶

Ransomware Decision Framework¶

Question	Yes	No
Backups available?	Restore from backup	Assess alternatives
Backups verified clean?	Begin restore	Scan backups first
Ransom affordable?	Legal consult	Focus on recovery
Decryptor available?	Use ID Ransomware	Continue assessment
Critical data affected?	Escalate to CEO	Standard IR

Recovery Priority Matrix¶

System	Priority	RTO	Restore Method
Domain Controllers	P1	4 hrs	DSRM restore
Core databases	P1	8 hrs	Backup restore
Email servers	P2	12 hrs	Cloud failover
File servers	P2	24 hrs	Backup restore
Workstations	P3	48 hrs	Reimage

Post-Ransomware Hardening¶

Hardening Checklist:
━━━━━━━━━━━━━━━━━━━
☐ Patch all systems to current
☐ Reset ALL credentials
☐ Enable MFA everywhere
☐ Segment network (micro)
☐ Deploy EDR on all endpoints
☐ Implement backup 3-2-1 rule
☐ Test restore procedures

Encryption Assessment¶

Check	Method	Result
Encrypted file count	Dir scan	[N] files
Decryptor available	nomoreransom.org	Yes/No
Backup integrity	Restore test	Verified/Failed