«Информзащита» о росте атак по модели «распыления паролей»
По сообщению компании «Информзащита», ее эксперты зафиксировали устойчивый рост атак по модели «распыления паролей» (password spray). По данным исследований компании, всего 20 автономных систем (ASN) генерируют более 80% всего вредоносного трафика атак типа password spray, хотя ежедневно аутентификационные запросы проходят через десятки тысяч IP-сетей по всему миру.
Механика распыления паролей основана на том, что злоумышленники не подбирают множество паролей для одной учетной записи, а используют один пароль сразу для большого количества логинов. Такой подход позволяет обходить автоматические системы блокировки, поскольку каждая учетная запись получает лишь одну неудачную попытку в определенный период времени. Атаки часто проводятся по стратегии low and slow – злоумышленники растягивают их на недели, распределяя активность по сотням IP-адресов, чтобы не нарушать пороговые значения систем мониторинга. В крупных кампаниях используется автоматизация, а облачные инфраструктуры дают мгновенное масштабирование и тысячи уникальных точек входа для атаки.
Особую опасность создает качество используемых злоумышленниками данных. По оценкам «Информзащиты», около 85% атакуемых учетных записей уже фигурировали в предыдущих утечках, а каждая встречалась в среднем не менее чем в трех различных дампах. Это означает, что атакующие используют заранее существующие логины, которые когда-то были скомпрометированы на сторонних сервисах. Это серьезный риск для корпоративной безопасности: даже после смены пароля или восстановления доступа учетная запись остается целью, так как ее логин присутствует в открытых базах данных и может быть использован для дальнейших атак.
По данным «Информзащиты», около 52% всех атак password spray направлены на образовательный сектор, для которого характерны большое количество временных и сервисных аккаунтов, слабая стандартизация управления доступами и обилие внешних интеграций. В число наиболее уязвимых также входят малые медицинские учреждения (25%), сервисные компании (16%) и технологический сектор (7%), где старые или неактивные учетные записи становятся легкой точкой входа для злоумышленников.
Недостаточная распространенность многофакторной аутентификации (MFA) усугубляет ситуацию. В анализируемых атаках только 1,5% попыток входа блокировались благодаря MFA, что говорит не о слабости технологии, а о ее недостаточном внедрении в организациях. Особенно критично это для учетных записей, уже участвовавших в утечках, где для успешного входа злоумышленнику требуется лишь отсутствие дополнительных проверок.
Для снижения рисков специалисты «Информзащиты» рекомендуют организациям уделять повышенное внимание учетным записям, фигурирующим в открытых утечках, и переводить их на phishing-resistant MFA. Необходимо регулярно анализировать логи на признаки аномальной активности, отслеживать ошибки аутентификации, блокировать подозрительные ASN, проводить аудит и удалять устаревшие или неактивные учетные записи. Кроме того, компании должны внедрять регулярную смену корпоративных паролей, запрещать их повторное использование и обучать сотрудников основам кибергигиены.