Зафиксирован рост атак с использованием модели «распыления паролей»

Эксперты «Информзащиты» зафиксировали устойчивый рост атак по модели «распыления паролей» (password spray). По данным исследований компании, всего 20 автономных систем (ASN) генерируют более 80% всего вредоносного трафика атак типа password spray, хотя ежедневно аутентификационные запросы проходят через десятки тысяч IP‑сетей по всему миру.

Механика распыления паролей основана на том, что злоумышленники не подбирают множество паролей для одной учетной записи, а используют один пароль сразу для большого количества логинов. Такой подход позволяет обходить автоматические системы блокировки, поскольку каждая учетная запись получает лишь одну неудачную попытку в определенный период времени. Атаки часто проводятся по стратегии «low and slow» — злоумышленники растягивают их на недели, распределяя активность по сотням IP‑адресов, чтобы не нарушать пороговые значения систем мониторинга. В крупных кампаниях используется автоматизация, а облачные инфраструктуры дают мгновенное масштабирование и тысячи уникальных точек входа для атаки.

Особую опасность создает качество используемых злоумышленниками данных. По оценкам «Информзащиты», около 85% атакуемых учетных записей уже фигурировали в предыдущих утечках, а каждая встречалась в среднем не менее чем в трех различных дампах. Это означает, что атакующие используют заранее существующие логины, которые когда‑то были скомпрометированы на сторонних сервисах. Для корпоративной безопасности это создает серьезный риск: даже после смены пароля или восстановления доступа, учетная запись остается целью, так как ее логин присутствует в открытых базах данных и может быть использован для дальнейших атак.

Наиболее уязвимыми оказываются сегменты с высокой текучестью пользователей и сложной распределенной инфраструктурой. Согласно исследованиям «Информзащиты», около 52% всех атак password spray направлены на образовательный сектор, где большое количество временных и сервисных аккаунтов, слабая стандартизация управления доступами и обилие внешних интеграций создают благоприятную среду для атак. Сюда также входят малые медицинские учреждения (25%), сервисные компании (16%) и технологический сектор (7%), где старые или неактивные учетные записи становятся легкой точкой входа для злоумышленников.

«Password spray уже давно перестал быть примитивной атакой. Сегодня это крупные автоматизированные операции с десятками автономных систем, сотнями IP‑адресов и точными данными о скомпрометированных логинах. Злоумышленники действуют максимально тихо, а компании нередко даже не замечают атаки до момента успешной компрометации. В условиях массовых утечек логинов по всему миру этот риск становится системным», — отметил руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин.

Недостаточная распространенность многофакторной аутентификации (MFA) усугубляет ситуацию. В анализируемых атаках только 1,5% попыток входа блокировались благодаря MFA, что говорит не о слабости технологии, а о ее недостаточном внедрении в организациях. Особенно критично это для учетных записей, уже участвовавших в утечках, где для успешного входа злоумышленнику требуется лишь отсутствие дополнительных проверок.

Для снижения рисков специалисты «Информзащиты» рекомендуют организациям уделять повышенное внимание учетным записям, фигурирующим в открытых утечках, и переводить их на phishing-resistant MFA. Необходимо регулярно анализировать логи на признаки аномальной активности, отслеживать ошибки аутентификации, блокировать подозрительные ASN, проводить аудит и удалять устаревшие или неактивные учетные записи. Кроме того, компании должны внедрять регулярную смену корпоративных паролей, запрещать их повторное использование и обучать сотрудников основам кибергигиены.