# Veeam Ransomware Exploitation Wave - 2026 > [!abstract] Resumo > A partir de fevereiro de 2026, múltiplos grupos de ransomware - liderados pelo [[lockbit]] - exploram um cluster de vulnerabilidades críticas no Veeam Backup & Replication (CVE-2026-21666, CVE-2026-21667, CVE-2026-21708, CVE-2026-21669) para destruir backups antes de implantar ransomware, eliminando a principal linha de defesa das organizações. **Data:** Fevereiro de 2026 | **Categoria:** Ransomware --- ## O que aconteceu Em fevereiro de 2026, pesquisadores de segurança e equipes de resposta a incidentes documentaram uma onda de ataques de ransomware que exploram um cluster de quatro vulnerabilidades críticas no Veeam Backup & Replication - uma das soluções de backup empresarial mais utilizadas globalmente. As CVEs exploradas ([[cve-2026-21666|CVE-2026-21666]], [[cve-2026-21667|CVE-2026-21667]], [[cve-2026-21708|CVE-2026-21708]], [[cve-2026-21669|CVE-2026-21669]]) permitem acesso não autenticado e execução remota de código no servidor de backup. A tática é devastadoramente eficaz: os atacantes primeiro comprometem o servidor Veeam, destroem ou criptografam os backups disponíveis - incluindo repositórios de backup e pontos de restauração - e somente então procedem ao deploy de ransomware na infraestrutura principal. Com os backups eliminados, a vítima perde sua principal opção de recuperação sem pagamento de resgaté. O [[lockbit]] foi identificado como o principal operador explorando estas vulnerabilidades, utilizando [[s0154-cobalt-strike]] como ferramenta de pós-exploração para movimentação lateral e [[t1003-os-credential-dumping|dump de credenciais]]. Afiliados de outros grupos RaaS também foram observados adotando o mesmo playbook. A campanha [[veeam-ransomware-exploitation-2026]] demonstra uma evolução tática dos operadores de ransomware: ao invés de apenas criptografar dados, eles agora sistematicamente eliminam a infraestrutura de recuperação como primeiro passo do ataque, maximizando a pressão sobre as vítimas para pagamento. --- ## Atores e Ferramentas - **Threat Actor principal:** [[lockbit]] (e afiliados RaaS) - **Campanha:** [[veeam-ransomware-exploitation-2026]] - **CVEs explorados:** [[cve-2026-21666|CVE-2026-21666]], [[cve-2026-21667|CVE-2026-21667]], [[cve-2026-21708|CVE-2026-21708]], [[cve-2026-21669|CVE-2026-21669]] - **Produto afetado:** Veeam Backup & Replication - **Ferramentas:** [[s0154-cobalt-strike]], PowerShell, PsExec - **Técnicas MITRE:** [[t1190-exploit-public-facing-application]], [[t1486-data-encrypted-for-impact]], [[t1059-001-powershell]], [[t1021-remote-services]], [[t1003-os-credential-dumping]] --- ## Impacto O impacto é particularmente severo porque atinge diretamente a resiliência organizacional. Veeam Backup & Replication é utilizado por centenas de milhares de organizações globalmente, incluindo setores críticos como [[financial|finanças]], [[government|governo]], [[healthcare|saúde]] e [[energy|infraestrutura crítica]]. No Brasil, onde a [[2025-q4-ransomware-brasil|onda de ransomware de Q4 2025]] já havia atingido níveis recordes, a exploração de Veeam agravou significativamente o cenário: - Organizações com backups baseados em Veeam perderam capacidade de recuperação - Demandas de resgaté aumentaram devido à eliminação da alternativa de restauração - Tempo de recuperação se estendeu significativamente em casos onde os backups foram destruídos A Veeam lançou patches de emergência e recomendou isolamento de rede do servidor de backup, implementação de backups imutáveis (object lock / air-gapped) e segmentação rigorosa entre infraestrutura de produção e backup. --- ## Notas Relacionadas - [[veeam-ransomware-exploitation-2026]] - campanha detalhada - [[lockbit]] - grupo de ameaça principal - [[s0154-cobalt-strike]] - ferramenta de pós-exploração - [[2025-q4-ransomware-brasil]] - contexto da onda de ransomware no Brasil - [[t1190-exploit-public-facing-application]] - vetor de acesso inicial - [[t1486-data-encrypted-for-impact]] - impacto principal - [[t1003-os-credential-dumping]] - técnica de coleta de credenciais