Le Veeam Backup & Replication est l’une des plateformes de sauvegarde les plus utilisées dans le monde de l’entreprise. Son efficacité, sa flexibilité et son intégration avec des environnements virtualisés rendent la solution extrêmement populaire dans des sociétés de toutes tailles. Cependant, cette popularité a également fait de Veeam l’une des principales cibles des attaques de ransomware, en particulier lors des opérations de double extorsion, de la destruction de sauvegardes et de l’effacement de dépôts.
Les rapports récents de Check Point (Cyber Security Report 2025), de SonicWall (2025 Cyber Threat Report) et de Sophos (State of Ransomware) montrent que les cybercriminels privilégient les attaques contre les systèmes de sauvegarde, car ils savent que sans sauvegardes fonctionnelles, l’entreprise devient plus susceptible de payer la rançon. Parmi les outils les plus ciblés, Veeam apparaît systématiquement impliqué dans les incidents analysés par la CISA et l’ENISA.
Lorsque Veeam est touché, l’organisation fait face à un scénario critique :
- Sauvegardes corrompues
- Chaînes de restauration brisées
- Dépôts supprimés
- Stockage compromis
- Catalogue SQL endommagé
- Fichiers VBK/VIB inaccessibles
Dans ce contexte, Digital Recovery intervient exclusivement dans la récupération de données chiffrées par ransomware, même lorsque le ransomware détruit toute l’infrastructure de sauvegarde.
Pourquoi Veeam est-il devenu une cible prioritaire des ransomware ?
Selon le rapport de Check Point (2025), des groupes tels qu’ALPHV/BlackCat, Akira, LockBit et RansomHub ont commencé à considérer l’attaque contre la sauvegarde comme une étape obligatoire de l’opération.
La raison est simple : la sauvegarde est le plus grand obstacle entre le cybercriminel et le paiement de la rançon. Si Veeam est détruit, l’entreprise se retrouve sans alternative.
Ces attaques suivent généralement un flux structuré :
1. Compromission des identifiants
Via des campagnes de phishing avancées, des keyloggers ou un accès RDP, les cybercriminels obtiennent les identifiants de l’administrateur Veeam, de l’AD ou du stockage. Cela leur permet de supprimer des dépôts entiers sans générer d’alertes.
2. Mouvement latéral jusqu’au serveur Veeam
Des outils natifs (PowerShell, WMIC, PsExec) sont utilisés pour localiser le serveur Veeam et les hôtes de stockage.
3. Destruction de la chaîne de sauvegarde (backup chain)
Les groupes suppriment ou corrompent des fichiers :
- VBK (full)
- VIB (incrementais)
- VRB (reverse incremental)
- Metadados .VBM
Dans de nombreux cas, les intrus réécrivent également des blocs du stockage, rendant la restauration impossible.
4. Attaque contre le catalogue et le SQL de Veeam
En corrompant les fichiers MDF/LDF de la base de données, Veeam cesse de reconnaître ses propres sauvegardes.
5. Attaque contre le stockage sous-jacent
La cible peut être :
- RAID 5, 6, 10 ou 50
- NAS (QNAP, Synology, TrueNAS)
- SAN Fibre Channel
- DAS
Que faire lorsque Veeam Backup est attaqué par un ransomware
Après l’attaque, la pire décision est de tenter de réparer manuellement Veeam ou de reconstruire l’environnement sans analyse spécialisée. Des actions inappropriées peuvent réécrire des blocs, corrompre des métadonnées ou détruire les rares données intactes restantes. Et c’est précisément à cette étape qu’intervient Digital Recovery.
Comment Digital Recovery récupère les données même lorsque Veeam a été détruit
Digital Recovery agit en dessous de la couche Veeam, directement dans la structure des disques et au niveau des blocs. Autrement dit, même lorsque Veeam n’ouvre plus les sauvegardes ou que les fichiers VBK sont corrompus, la récupération reste possible.
1. Reconstruction des métadonnées et des chaînes de sauvegarde
Grâce à des techniques avancées et à une analyse directe des blocs, il est possible de reconstruire des parties de chaînes VBK/VIB endommagées et d’extraire des informations encore accessibles.
2. Récupération de NAS, SAN, DAS et RAID
L’équipe est spécialisée dans :
- RAID 0, 1, 5, 6, 10, 50, 60
- Storages NAS XFS, EXT4, Btrfs, ReFS
- LUNs qui ne montent pas
- Baies hors service ou dégradées
3. Récupération de serveurs chiffrés
Même lorsque le ransomware a touché VMware, Hyper-V ou des serveurs physiques, il est encore possible de reconstruire des machines virtuelles, des fichiers et des répertoires critiques.
4. Technologie TRACER
La technologie propriétaire TRACER — mentionnée dans plusieurs cas internationaux — permet de récupérer des données même lorsque :
- des sauvegardes ont été supprimées
- des fichiers ont été renommés
- des blocs ont été partiellement réécrits
Conclusion
Veeam Backup est une solution puissante, mais pas invulnérable. Dans les scénarios actuels, avec des attaques de plus en plus sophistiquées, alimentées par l’IA et hautement ciblées, les cybercriminels savent exactement où frapper. C’est pourquoi la destruction des sauvegardes est devenue une étape standard dans les opérations de ransomware.
Lorsque Veeam est compromis, l’entreprise se retrouve dans le pire scénario possible : tous les systèmes sont chiffrés et aucune restauration ne fonctionne.
La bonne nouvelle est que, même lorsque tout semble perdu, la récupération reste possible. Digital Recovery intervient directement sur les blocs, les stockages, les LUN, les RAID et les fichiers internes, reconstruisant des données que Veeam n’est plus en mesure d’interpréter.
