Зафиксирован рост атак с использованием модели «распыления паролей»
Зафиксирован рост атак методом «распыления паролей» (password spray): всего 20 автономных систем генерируют более 80% вредоносного трафика, а около 52% атак направлено на образовательный сектор. Злоумышленники используют автоматизацию и данные из предыдущих утечек, а низкое внедрение многофакторной аутентификации (MFA) усугубляет риски.
Зафиксирован устойчивый рост атак по модели «распыления паролей» (password spray). Как сообщили в компании «Информзащита», всего 20 автономных систем (ASN) генерируют более 80% всего вредоносного трафика такого типа, хотя ежедневно аутентификационные запросы проходят через десятки тысяч IP-сетей по всему миру.
Механика атак основана на использовании одного пароля для большого количества логинов, что позволяет обходить системы блокировки, поскольку каждая учётная запись получает лишь одну неудачную попытку за определённый период. Атаки часто проводятся по стратегии «low and slow», растягиваются на недели и распределяются по сотням IP-адресов, а в крупных кампаниях используется автоматизация и облачные инфраструктуры.
Особую опасность создаёт качество используемых злоумышленниками данных. По оценкам «Информзащиты», около 85% атакуемых учётных записей уже фигурировали в предыдущих утечках, а каждая встречалась в среднем не менее чем в трёх различных дампах. Это означает, что атакующие используют заранее скомпрометированные логины, что создаёт риск даже после смены пароля.
Наиболее уязвимыми оказываются сегменты с высокой текучестью пользователей и сложной распределённой инфраструктурой. Около 52% всех атак password spray направлены на образовательный сектор. Также в зоне риска находятся малые медицинские учреждения (25%), сервисные компании (16%) и технологический сектор (7%), где старые или неактивные учётные записи становятся лёгкой точкой входа.
Ситуацию усугубляет недостаточная распространённость многофакторной аутентификации (MFA). В анализируемых атаках только 1,5% попыток входа блокировались благодаря MFA, что, говорит о недостаточном внедрении технологии в организациях.
Для снижения рисков специалисты рекомендуют уделять повышенное внимание учётным записям, фигурирующим в открытых утечках, и переводить их на phishing-resistant MFA. Кроме того, необходимо регулярно анализировать логи на признаки аномальной активности, отслеживать ошибки аутентификации, блокировать подозрительные ASN (номера автономных систем), проводить аудит и удалять устаревшие учётные записи, а также внедрять регулярную смену корпоративных паролей с запретом их повторного использования.
