Специалисты компании «Информзащита» отмечают стабильное увеличение числа атак по методу «распыления паролей» (password spray). Как показывают данные их анализа, свыше 80% всего вредоносного трафика от таких атак исходит всего от 20 автономных систем (ASN), несмотря на то что ежедневно аутентификационные запросы проходят через десятки тысяч IP-сетей по всему миру. Об этом CNews рассказали в «Информзащите».
Принцип атаки распылением паролей заключается в том, что злоумышленники применяют не множество паролей к одному аккаунту, а один пароль — к огромному числу учетных записей. Эта тактика позволяет избегать срабатывания автоматических блокировок, поскольку для каждой учетной записи в заданный промежуток времени фиксируется лишь одна неуспешная попытка входа. Атаки часто реализуются по стратегии «медленно и незаметно» (low and slow): злоумышленники растягивают их на недели, рассредоточивая активность по сотням IP-адресов, чтобы не превысить пороговые значения систем безопасности. В масштабных кампаниях используется автоматизация, а облачные инфраструктуры обеспечивают мгновенное масштабирование и тысячи уникальных точек для начала атаки.
Особую угрозу представляет качество данных, которые используют атакующие. По оценкам «Информзащиты», примерно 85% атакуемых учетных записей уже были задействованы в прошлых утечках информации, причем каждая из них в среднем встречалась не менее чем в трех различных слитых базах. Это говорит о том, что злоумышленники оперируют ранее скомпрометированными логинами, полученными со сторонних сервисов. Для корпоративной безопасности это создает серьезную проблему: даже после смены пароля или восстановления доступа учетная запись остается под угрозой, поскольку ее идентификатор содержится в открытых источниках и может быть использован для новых атак.
Наиболее уязвимыми являются сегменты с высокой ротацией пользователей и сложной распределенной инфраструктурой. Согласно исследованиям «Информзащиты», около 52% всех атак методом распыления паролей нацелены на сферу образования, где обилие временных и сервисных аккаунтов, недостаточная стандартизация управления доступом и множество внешних интеграций формируют благоприятную среду для атакующих. В группу риска также входят небольшие медицинские организации (25%), сервисные компании (16%) и технологический сектор (7%), где устаревшие или неиспользуемые учетные записи становятся легкой добычей для злоумышленников.
«Распыление паролей уже давно переросло в примитивную атаку. Сегодня это крупные автоматизированные операции с десятками автономных систем, сотнями IP-адресов и точными данными о скомпрометированных логинах. Злоумышленники действуют крайне скрытно, и компании зачастую не замечают атаку до момента успешного взлома. В условиях глобальных утечек учетных данных этот риск приобретает системный характер», — отметил руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин.
Низкий уровень внедрения многофакторной аутентификации (MFA) является дополнительным фактором риска. Согласно исследованным инцидентам, MFA предотвратила лишь 1,5% попыток несанкционированного доступа, что свидетельствует не о неэффективности метода, а о его ограниченном использовании компаниями. Наибольшую опасность это представляет для учетных записей, данные которых уже были скомпрометированы в прошлом, — в таком случае злоумышленнику для успеха достаточно отсутствия второго фактора проверки.
С целью минимизации угроз эксперты «Информзащиты» советуют организациям в приоритетном порядке защищать учетные записи, обнаруженные в публичных базах утекших данных, и внедрять для них устойчивые к фишингу методы MFA. Следует систематически изучать логи на предмет нестандартных действий, контролировать сбои при входе в систему, блокировать подозрительные сетевые сегменты (ASN), проводить ревизию и удалять неиспользуемые либо устаревшие аккаунты. Помимо этого, важно ввести регулярную обязательную смену корпоративных паролей, исключить их повторное применение и повышать грамотность персонала в вопросах кибербезопасности.
