O Veeam Backup & Replication ist eine der am häufigsten genutzten Backup-Plattformen in der Unternehmenswelt. Seine Effizienz, Flexibilität und Integration in virtualisierte Umgebungen machen die Lösung in Unternehmen jeder Größe äußerst beliebt. Diese Popularität hat Veeam jedoch auch zu einem der Hauptziele von Ransomware-Angriffen gemacht, insbesondere bei Doppel-Erpressungsoperationen, der Zerstörung von Backups und dem Löschen von Repositories.
Aktuelle Berichte von Check Point (Cyber Security Report 2025), SonicWall (2025 Cyber Threat Report) und Sophos (State of Ransomware) zeigen, dass Cyberkriminelle vermehrt Backupsysteme ins Visier nehmen, da sie wissen, dass Unternehmen ohne funktionsfähige Backups eher bereit sind, ein Lösegeld zu zahlen. Unter den am häufigsten angegriffenen Tools steht Veeam regelmäßig im Zusammenhang mit Vorfällen, die von der CISA und der ENISA analysiert wurden.
Wenn Veeam getroffen wird, steht die Organisation vor einem kritischen Szenario:
- Beschädigte Backups
- Unterbrochene Wiederherstellungsketten
- Gelöschte Repositories
- Kompromittierter Storage
- Beschädigter SQL-Katalog
- Unzugängliche VBK-/VIB-Dateien
In diesem Zusammenhang arbeitet Digital Recovery ausschließlich an der Wiederherstellung von durch Ransomware verschlüsselten Daten, selbst dann, wenn die Ransomware die gesamte Backup-Infrastruktur zerstört.
Warum ist Veeam zu einem vorrangigen Ziel für Ransomware geworden?
Laut dem Bericht von Check Point (2025) betrachten Gruppen wie ALPHV/BlackCat, Akira, LockBit und RansomHub den Angriff auf Backups inzwischen als verpflichtenden Bestandteil ihrer Operation.
Der Grund ist einfach: Backups sind das größte Hindernis zwischen dem Kriminellen und der Lösegeldzahlung, und wenn Veeam zerstört wird, bleibt dem Unternehmen keine Alternative.
Diese Angriffe folgen in der Regel einem strukturierten Ablauf:
1. Kompromittierung von Zugangsdaten
Über ausgefeilte Phishing-Angriffe, Keylogger oder RDP-Zugänge erlangen die Kriminellen die Zugangsdaten des Veeam-Administrators, des AD oder des Storage. Dadurch können sie vollständige Repositories löschen, ohne Warnmeldungen auszulösen.
2. Laterale Bewegung bis zum Veeam-Server
Native Tools (PowerShell, WMIC, PsExec) werden verwendet, um den Veeam-Server und die Storage-Hosts zu lokalisieren.
3. Zerstörung der Backup-Kette (Backup Chain)
Die Gruppen löschen oder beschädigen Dateien:
- VBK (full)
- VIB (inkrementell)
- VRB (Reverse Incremental)
- VBM-Metadaten
In vielen Fällen überschreiben die Angreifer auch Storage-Blöcke, wodurch eine Wiederherstellung unmöglich wird.
4. Angriff auf den Veeam-Katalog und das Veeam-SQL
Durch die Beschädigung der MDF-/LDF-Dateien der Datenbank erkennt Veeam seine eigenen Backups nicht mehr.
5. Angriff auf den zugrunde liegenden Storage
Das Ziel kann sein:
- RAID 5, 6, 10 ou 50
- NAS (QNAP, Synology, TrueNAS)
- SAN Fibre Channel
- DAS
Was tun, wenn Veeam Backup von Ransomware angegriffen wird
Nach dem Angriff ist die schlechteste Entscheidung, zu versuchen, Veeam manuell zu reparieren oder die Umgebung ohne eine spezialisierte Analyse neu aufzubauen. Falsche Maßnahmen können Blöcke überschreiben, Metadaten beschädigen oder die wenigen verbleibenden intakten Daten zerstören. Und genau an diesem Punkt kommt Digital Recovery ins Spiel.
Wie Digital Recovery Daten wiederherstellt, selbst wenn Veeam zerstört wurde
Digital Recovery arbeitet unterhalb der Veeam-Schicht, direkt in der Struktur der Festplatten und auf Blockebene. Das heißt: Selbst wenn Veeam die Backups nicht öffnet oder die VBK-Dateien beschädigt sind, ist eine Wiederherstellung weiterhin möglich.
1. Rekonstruktion von Metadaten und Backup-Ketten
Mit fortgeschrittenen Techniken und der direkten Analyse der Blöcke ist es möglich, Teile beschädigter VBK-/VIB-Ketten zu rekonstruieren und noch zugängliche Informationen zu extrahieren.
2. Wiederherstellung von NAS, SAN, DAS und RAID
Das Team ist spezialisiert auf:
- RAID 0, 1, 5, 6, 10, 50, 60
- NAS-Storage XFS, EXT4, Btrfs, ReFS
- LUNs, die nicht mounten
- Arrays, die ausgefallen oder degradiert sind
3. Wiederherstellung verschlüsselter Server
Auch wenn die Ransomware VMware, Hyper-V oder physische Server getroffen hat, ist es weiterhin möglich, VMs, Dateien und kritische Verzeichnisse zu rekonstruieren.
4. TRACER Technology
Die proprietäre TRACER-Technologie – die in mehreren internationalen Fällen erwähnt wird – ermöglicht die Wiederherstellung von Daten selbst dann, wenn:
- Backups gelöscht wurden
- Dateien umbenannt wurden
- Blöcke teilweise überschrieben wurden
Fazit
Veeam Backup ist eine leistungsstarke Lösung, aber nicht unverwundbar. In der heutigen Situation mit immer ausgefeilteren, KI-gestützten und hochgradig gezielten Angriffen wissen Cyberkriminelle genau, wo sie zuschlagen müssen. Aus diesem Grund ist die Zerstörung von Backups zu einem Standardbestandteil von Ransomware-Operationen geworden.
Wenn Veeam kompromittiert wird, gerät das Unternehmen in das schlechteste mögliche Szenario: Alle Systeme sind verschlüsselt und es existiert keine funktionierende Wiederherstellung.
Die gute Nachricht ist, dass selbst dann, wenn alles verloren scheint, eine Wiederherstellung noch möglich ist. Digital Recovery arbeitet direkt auf Block-, Storage-, LUN-, RAID- und Dateiebene und rekonstruiert Daten, die Veeam nicht mehr interpretieren kann.
