«Информзащита» об атаках с техникой распыления паролей

Компания «Информзащита» сообщила, что ее эксперты  зафиксировали рост активности атак на корпоративные учетные записи с использованием техники распыления паролей. По данным компании, в 2026 г. злоумышленники ежемесячно задействуют более 12000 уникальных spray IP, каждый из которых атакует не менее 10 учетных записей. По сравнению с концом 2025 г. число таких IP увеличивается в среднем на 11% месяц к месяцу, а доля неуспешных попыток входа в корпоративные сервисы держится на уровне 28–30%. Для бизнеса это означает, что атаки на идентификационные данные фактически превратились в постоянный фоновый процесс: злоумышленники не ждут отдельного повода, а регулярно проверяют облачные сервисы, почтовые системы и удаленные рабочие контуры на слабые пароли, и у компаний нет периодов, когда риск можно считать низким.

Техника распыления паролей, поясняют эксперты, отличается от классического перебора тем, что атакующий не сосредотачивается на одной учетной записи. Вместо тысяч попыток входа к одному пользователю он берет ограниченный набор популярных, утекших или сгенерированных паролей и последовательно проверяет их на большом массиве сотрудников. Попытки распределяются по разным IP-адресам, странам, автономным системам и временным интервалам. В журналах безопасности такая активность выглядит как множество несвязанных между собой отказов, а не как очевидная брутфорс-атака. Именно поэтому простые правила блокировки по числу ошибок с одного адреса уже не дают эффекта: при использовании только таких порогов распределенные атаки проходят мимо системы мониторинга и воспринимаются как «нормальный» фон.

Рост такого типа атак связан с доступностью инфраструктуры. Атакующие используют облачные серверы, прокси-сети, скомпрометированные домашние маршрутизаторы, а также одноразовые узлы, которые быстро выводятся из кампании после попадания в списки блокировки. На практике один и тот же сценарий может одновременно затрагивать десятки организаций, но в каждой из них оставлять лишь слабый след.

В этом году техника распыления паролей используется как первый этап цепочки. После успешной аутентификации атакующий проверяет почтовый ящик, создает правила пересылки, пытается получить доступ к файловым хранилищам, внутренним чатам и административным панелям. В ряде случаев за первичным входом следует попытка захвата сессии и изменения параметров MFA, затем – подключение сторонних приложений через OAuth или проверка устаревших протоколов, где многофакторная аутентификация работает неполноценно . По оценке «Информзащиты», доля инцидентов, в которых после распыления паролей фиксировались признаки дальнейшего движения по облачной среде, выросла с 18% в конце 2025 г. до 27% в первом полугодии 2026-го.

По отраслевой структуре чаще всего такие атаки затрагивают финансовые организации и страховые компании: около 24% наблюдаемых случаев. На ИТ-компании и сервисные провайдеры приходится 19%, ритейл и e-commerce – 17%, промышленность и логистика – 14%, профессиональные сервисы и консалтинг – 11%, образовательные организации – 8%, здравоохранение – 7%. У каждой отрасли свой фактор риска. В финансах атакующих привлекают платежные процессы и доступ к клиентским данным, в ИТ – возможность выйти на инфраструктуру заказчиков, в ритейле – высокая доля внешних сервисов и сезонные пики нагрузки, в промышленности – сложная сеть подрядчиков и удаленного доступа.

Разбивка по векторам атак показывает, что техника распыления паролей занимает около 38% попыток первичного доступа к корпоративным аккаунтам. На credential stuffing с использованием утекших баз приходится 24%, на атаки через устаревшие протоколы – 14%, на AiTM-фишинг и повторное использование токенов – 11%, на злоупотребление OAuth-разрешениями и device code flow – 7%, на MFA fatigue – 4%, на атаки через сервисные учетные записи, API-ключи и другие non-human identities – около 2%. Эти цифры показывают, что пароль остается удобной точкой входа, но сам инцидент почти всегда развивается шире.

Для снижения рисков, отмечают в «Информзащите»,  компаниям в первую очередь следует отключать устаревшие протоколы там, где они не нужны бизнесу, вводить phishing-resistant MFA для привилегированных, финансовых и административных ролей, регулярно проверять корпоративные пароли на наличие в утечках и исключать повторное использование паролей между сервисами. Отдельного контроля требуют успешные входы после серии отказов, смена MFA-параметров, создание правил пересылки в почте, выдача OAuth-разрешений, входы с новых устройств и активность из нетипичных регионов. Простых блокировок по числу ошибок уже недостаточно: техника распыления паролей как раз рассчитана на обход таких порогов. Рабочая защита строится на корреляции событий, поведенческой аналитике, контроле сессий, инвентаризации сервисных учетных записей и быстрой проверке каждого успешного входа, которому предшествовала распределенная подозрительная активность.