Veeam Backup & Replication è una delle piattaforme di backup più utilizzate nel mondo aziendale. La sua efficienza, flessibilità e integrazione con ambienti virtualizzati rendono la soluzione estremamente popolare tra aziende di tutte le dimensioni. Tuttavia, questa popolarità ha anche trasformato Veeam in uno dei principali bersagli degli attacchi ransomware, soprattutto in operazioni di doppia estorsione, distruzione dei backup e cancellazione dei repository.
Report recenti di Check Point (Cyber Security Report 2025), SonicWall (2025 Cyber Threat Report) e Sophos (State of Ransomware) mostrano che i criminali stanno dando priorità agli attacchi ai sistemi di backup, poiché sanno che, senza backup funzionanti, l’azienda diventa più propensa a pagare il riscatto. Tra gli strumenti più presi di mira, Veeam appare sistematicamente coinvolto in incidenti analizzati da CISA ed ENISA.
Quando Veeam viene colpito, l’organizzazione si trova ad affrontare uno scenario critico:
- Backup danneggiati
- Catene di ripristino interrotte
- Repository eliminati
- Repository eliminati
- Catalogo SQL danne
- File VBK/VIB inaccessibili
In questo contesto, Digital Recovery opera esclusivamente nel campo del recupero di dati crittografati da ransomware, anche quando il ransomware distrugge l’intera infrastruttura di backup.
Perché Veeam è diventato un bersaglio prioritario per il ransomware?
Secondo il rapporto di Check Point (2025), gruppi come ALPHV/BlackCat, Akira, LockBit e RansomHub hanno iniziato a considerare l’attacco al backup come parte obbligatoria dell’operazione.
Il motivo è semplice: il backup è il maggiore ostacolo tra il criminale e il pagamento del riscatto, e, se Veeam viene distrutto, l’azienda rimane senza alternative.
Questi attacchi solitamente seguono un flusso strutturato:
1. Compromissione delle credenziali
Attraverso phishing avanzato, keylogger o accesso RDP, i criminali ottengono le credenziali dell’amministratore di Veeam, dell’AD o dello storage. Ciò consente loro di eliminare interi repository senza generare avvisi.
2. Movimento laterale fino al server Veeam
Strumenti nativi (PowerShell, WMIC, PsExec) vengono utilizzati per individuare il server Veeam e gli host dello storage.
3. Distruzione della catena di backup (backup chain)
I gruppi eliminano o danneggiano i file:
- VBK (full)
- VIB (incrementais)
- VRB (reverse incremental)
- Metadati .VBM
In molti casi, gli aggressori sovrascrivono anche i blocchi dello storage, rendendo il ripristino impossibile.
4. Attacco al catalogo e al SQL di Veeam
4. Attacco al catalogo e al SQL di Veeam
5. Attacco allo storage sottostante
L’obiettivo può essere:
- RAID 5, 6, 10 ou 50
- NAS (QNAP, Synology, TrueNAS)
- SAN Fibre Channel
- DAS
Cosa fare quando Veeam Backup viene attaccato da ransomware
Dopo l’attacco, la decisione peggiore è tentare di riparare manualmente Veeam o ricostruire l’ambiente senza un’analisi specializzata. Azioni errate possono sovrascrivere blocchi, danneggiare metadati o distruggere i pochi dati integri rimasti. Ed è proprio in questa fase che entra in gioco Digital Recovery.
Come Digital Recovery recupera i dati anche quando Veeam è stato distrutto
Digital Recovery opera al di sotto del livello di Veeam, direttamente nella struttura dei dischi e a livello di blocchi. In altre parole, anche quando Veeam non apre i backup o i file VBK sono danneggiati, il recupero è comunque possibile.
1. Ricostruzione dei metadati e delle catene di backup
Con tecniche avanzate e analisi diretta dei blocchi, è possibile ricostruire parti di catene VBK/VIB danneggiate ed estrarre informazioni ancora accessibili.
2. Recupero di NAS, SAN, DAS e RAID
Il team è specializzato in:
- RAID 0, 1, 5, 6, 10, 50, 60
- Storage NAS XFS, EXT4, Btrfs, ReFS
- LUN che non si montano
- Array fuori servizio o degradati
3. Recupero di server crittografati
Anche quando il ransomware ha colpito VMware, Hyper-V o server fisici, è comunque possibile ricostruire macchine virtuali, file e directory critiche.
4. TRACER Technology
La tecnologia proprietaria TRACER — menzionata in molteplici casi internazionali — permette di recuperare dati anche quando:
- i backup sono stati eliminati
- i backup sono stati eliminati
- i blocchi sono stati sovrascritti parzialmente
Conclusione
Veeam Backup è una soluzione potente, ma non invulnerabile. Negli scenari attuali, con attacchi sempre più sofisticati, potenziati dall’IA e altamente mirati, i criminali sanno esattamente dove colpire. Per questo motivo, la distruzione dei backup è diventata parte standard delle operazioni di ransomware.
Quando Veeam viene compromesso, l’azienda entra nel peggior scenario possibile: tutti i sistemi sono crittografati e non esiste alcun ripristino funzionante.
La buona notizia è che, anche quando tutto sembra perduto, il recupero è ancora possibile. Digital Recovery interviene direttamente sui blocchi, sugli storage, sulle LUN, sui RAID e sui file interni, ricostruendo dati che Veeam non riesce più a interpretare.
