Doordat de logs van aangevallen organisaties nog altijd niet in orde zijn kan niet worden achterhaald hoe aanvallers netwerken weten binnen te dringen, zo stelt Cisco. Het bedrijf laat al jaren weten dat het bij de onderzoeken die het uitvoert aanloopt tegen onvolledige of ontbrekende logs. Zodoende kan niet worden achterhaald welke aanvalsvector de aanvallers gebruikten. Een situatie die ook in de eerste helft van dit jaar niet is veranderd.

Bij de onderzoeken waarbij de aanvalsvector wel bekend was ging het onder andere om gebruik van het Log4j-lek om kwetsbare VMware Horizon-servers aan te vallen, alsmede kwetsbaarheden in GitLab (CVE-2021-22204 en CVE-2021-22205) waardoor remote code execution mogelijk is. Eerder lieten andere securitybedrijven al weten dat de criminelen achter de Cerber-ransomware gebruikmaken van oudere kwetsbaarheden in Atlassian Confluence en GitLab om netwerken aan te vallen en ransomware verspreiden.

Multifactorauthenticatie

Het belangrijkste advies dat Cisco voor aangevallen organisaties heeft is het implementeren van multifactorauthenticatie (MFA) voor alle belangrijke services, waaronder endpoint detection response (EDR) oplossingen. "MFA is een effectieve manier om te voorkomen dat aanvallers ongewenste toegang krijgen, en we zien geregeld aanvallen die voorkomen hadden kunnen worden als MFA was ingeschakeld", zegt Caitlin Huey van Cisco.

De onderzoeker wijst naar een incident bij een telecombedrijf. De aanvallers wisten de helpdesk/callcenter van een partnerbedrijf te compromitteren. Deze derde partij had toegang tot de Citrix-servers van het telecombedrijf, waarbij accounts niet met MFA waren beveiligd. Via de Citrix-toegang werd uiteindelijk het telecombedrijf gecompromitteerd. Cisco adviseert dan ook voor derde partijen waarmee organisaties samenwerken naar MFA-beveiligingsbeleid te kijken.