حمله باج‌افزار به Veeam Backup

Veeam Backup & Replication یکی از پرکاربردترین پلتفرم‌های پشتیبان‌گیری در دنیای شرکت‌ها است. کارایی، انعطاف‌پذیری و ادغام آن با محیط‌های مجازی، این راهکار را در بین شرکت‌ها در هر اندازه‌ای بسیار محبوب کرده است. با این حال، این محبوبیت، Veeam را به یکی از اهداف اصلی حملات باج‌افزارها، به ویژه در عملیات اخاذی مضاعف ، تخریب پشتیبان و پاک کردن مخزن، تبدیل کرده است.

گزارش‌های اخیر Check Point (گزارش امنیت سایبری ۲۰۲۵)، SonicWall (گزارش تهدیدات سایبری ۲۰۲۵) و Sophos (وضعیت باج‌افزار) نشان می‌دهد که مجرمان حملات به سیستم‌های پشتیبان را در اولویت قرار می‌دهند ، زیرا می‌دانند که بدون پشتیبان‌گیری‌های کاربردی، احتمال پرداخت باج توسط یک شرکت بیشتر می‌شود. در میان ابزارهایی که بیشترین هدف را دارند، Veeam به طور مداوم در حوادثی که توسط CISA و ENISA تجزیه و تحلیل شده‌اند، ظاهر می‌شود.

وقتی Veeam مورد حمله قرار می‌گیرد، سازمان با یک سناریوی بحرانی روبرو می‌شود:

پشتیبان‌های خراب
زنجیرهای شکسته را بازیابی کنید
مخازن حذف شده
فضای ذخیره‌سازی آسیب‌دیده
کاتالوگ SQL آسیب دیده
فایل‌های VBK/VIB غیرقابل دسترس
در این زمینه، Digital Recovery منحصراً روی بازیابی داده‌های رمزگذاری شده توسط باج‌افزار کار می‌کند ، حتی زمانی که باج‌افزار کل زیرساخت پشتیبان را از بین ببرد.

چرا Veeam به یک هدف اولویت‌دار برای باج‌افزارها تبدیل شده است ؟
طبق گزارش Check Point (2025)، گروه‌هایی مانند ALPHV/BlackCat، Akira، LockBit و RansomHub شروع به بررسی حمله به نسخه پشتیبان به عنوان بخشی اجباری از عملیات خود کرده‌اند.

دلیل آن ساده است: پشتیبان‌گیری بزرگترین مانع بین مجرم و پرداخت باج است و اگر Veeam نابود شود، شرکت هیچ جایگزینی ندارد.

این حملات عموماً از یک جریان ساختاریافته پیروی می‌کنند:

۱. سازش در مورد اعتبارنامه

مجرمان از طریق فیشینگ پیشرفته، کی‌لاگرها یا دسترسی RDP، اطلاعات ادمین Veeam، AD یا Storage را به دست می‌آورند. این به آنها اجازه می‌دهد تا کل مخازن را بدون ایجاد هشدار حذف کنند.

۲. حرکت جانبی به سرور Veeam

ابزارهای بومی (PowerShell، WMIC، PsExec) برای مکان‌یابی سرور Veeam و میزبان‌های ذخیره‌سازی استفاده می‌شوند.

۳. تخریب زنجیره پشتیبان

این گروه‌ها فایل‌ها را حذف یا خراب می‌کنند:

وی بی کی (کامل)
VIB (افزایشی)
VRB (افزایشی معکوس)
فراداده .VBM
در بسیاری از موارد، مهاجمان بلوک‌های ذخیره‌سازی را نیز بازنویسی می‌کنند و بازیابی را غیرممکن می‌سازند.

۴. حمله به کاتالوگ و SQL در Veeam

با خراب شدن فایل‌های پایگاه داده MDF/LDF، Veeam دیگر نمی‌تواند فایل‌های پشتیبان خود را شناسایی کند.

۵. حمله به فضای ذخیره‌سازی زیرین

هدف ممکن است موارد زیر باشد:

RAID 5، 6، 10 یا 50
NAS (کیونپ، سینولوژی، TrueNAS)
کانال فیبر SAN
داس
وقتی Veeam Backup مورد حمله باج افزار قرار می‌گیرد، چه باید کرد؟
پس از حمله، بدترین تصمیم این است که سعی کنید Veeam را به صورت دستی تعمیر کنید یا محیط را بدون تجزیه و تحلیل تخصصی بازسازی کنید. اقدامات نادرست می‌تواند بلوک‌ها را بازنویسی کند، ابرداده‌ها را خراب کند یا معدود قطعات داده سالم باقی مانده را از بین ببرد. و دقیقاً در همین مرحله است که بازیابی دیجیتال وارد عمل می‌شود.

چگونه Digital Recovery حتی زمانی که Veeam از بین رفته است، داده‌ها را بازیابی می‌کند؟
بازیابی دیجیتال در زیر لایه Veeam، مستقیماً درون ساختار دیسک و در سطح بلوک عمل می‌کند. به عبارت دیگر، حتی زمانی که Veeam نمی‌تواند پشتیبان‌ها را باز کند یا فایل‌های VBK خراب باشند، بازیابی همچنان امکان‌پذیر است.

۱. بازسازی زنجیره‌های فراداده و پشتیبان

با تکنیک‌های پیشرفته و تجزیه و تحلیل مستقیم بلوک، می‌توان بخش‌هایی از زنجیره‌های آسیب‌دیده VBK/VIB را بازسازی کرد و اطلاعاتی را که هنوز در دسترس هستند، استخراج کرد.

۲. بازیابی NAS، SAN، DAS و RAID

این تیم در موارد زیر تخصص دارد:

RAID 0، 1، 5، 6، 10، 50، 60
ذخیره‌سازی NAS با فرمت‌های XFS، EXT4، Btrfs، ReFS
LUN هایی که mount نمی شوند
آرایه‌هایی که آفلاین یا تخریب‌شده هستند
۳. بازیابی سرورهای رمزگذاری شده

حتی زمانی که باج‌افزار به سرورهای VMware، Hyper-V یا فیزیکی آسیب رسانده باشد، هنوز هم می‌توان ماشین‌های مجازی، فایل‌ها و دایرکتوری‌های حیاتی را بازسازی کرد.

۴. فناوری ردیاب

فناوری اختصاصی TRACER – که در چندین پرونده بین‌المللی به آن اشاره شده است – بازیابی اطلاعات را حتی در موارد زیر نیز امکان‌پذیر می‌سازد:

نسخه‌های پشتیبان حذف شده‌اند
فایل‌ها تغییر نام داده شده‌اند
بلوک‌ها تا حدی رونویسی شده‌اند
نتیجه‌گیری
Veeam Backup یک راهکار قدرتمند است، اما آسیب‌ناپذیر نیست. در سناریوهای امروزی، با حملات فزاینده، پیچیده، مبتنی بر هوش مصنوعی و بسیار هدفمند، مجرمان دقیقاً می‌دانند کجا را هدف قرار دهند. به همین دلیل، از بین بردن نسخه‌های پشتیبان به بخش استانداردی از عملیات باج‌افزارها تبدیل شده است.

وقتی Veeam مورد نفوذ قرار می‌گیرد، شرکت با بدترین سناریوی ممکن روبرو می‌شود: همه سیستم‌ها رمزگذاری شده‌اند و هیچ بازیابی کارآمدی وجود ندارد.

خبر خوب این است که حتی وقتی همه چیز از دست رفته به نظر می‌رسد، بازیابی هنوز هم امکان‌پذیر است. بازیابی دیجیتال مستقیماً روی بلوک‌ها، ذخیره‌سازی‌ها، LUNها، RAIDها و فایل‌های داخلی کار می‌کند و داده‌هایی را که Veeam دیگر نمی‌تواند تفسیر کند، بازسازی می‌کند.

تصویر تیم تحریریه
تیم تحریریه