Специалисты «Информзащиты» отмечают увеличение числа атак на корпоративные аккаунты с применением метода распыления паролей. Как показывают результаты изысканий компании, в 2026 году злоумышленники ежемесячно используют свыше 12 тысяч уникальных spray IP, каждый из которых атакует минимум 10 учетных записей. В сравнении с концом 2025 года количество подобных IP-адресов возрастает в среднем на 11% ежемесячно, а доля неудачных попыток входа в корпоративные системы сохраняется на уровне 28–30%. Для предпринимательской деятельности это означает, что атаки на идентификационные данные превратились в постоянный фоновый процесс: нарушители не дожидаются особого случая, а систематически тестируют облачные сервисы, почтовые системы и удаленные рабочие среды на предмет слабых паролей, и у организаций не бывает периодов, когда риск можно считать минимальным. Об этом CNews проинформировали представители «Информзащиты».
Метод распыления паролей отличается от традиционного перебора тем, что атакующий не фокусируется на одной учетной записи. Вместо тысяч попыток входа для одного пользователя он использует ограниченный набор популярных, утекших или сгенерированных паролей и последовательно проверяет их на большом количестве сотрудников. Попытки распределяются по различным IP-адресам, странам, автономным системам и временным отрезкам. В журналах безопасности такая активность выглядит как множество не связанных между собой отказов, а не как очевидная атака методом перебора. Именно поэтому простые правила блокировки по числу ошибок с одного адреса уже не приносят нужного результата: при использовании только таких порогов распределенные атаки закономерно остаются незамеченными системами мониторинга и воспринимаются как «нормальный» фон.
Рост подобных атак обусловлен доступностью инфраструктуры. Злоумышленники применяют облачные серверы, прокси-сети, взломанные домашние маршрутизаторы, а также одноразовые узлы, которые быстро выводятся из кампании после попадания в списки блокировки. На практике один и тот же сценарий может одновременно затрагивать десятки организаций, но в каждой из них оставлять лишь незначительный след. Особую роль играет качество парольных словарей, так как нарушители часто формируют их не только из открытых утечек, но и с учетом региональной лексики, названий компаний, корпоративных шаблонов и типовых правил сложности пароля. В результате снижается объем шума, но повышается вероятность успешного входа.
К 2026 году метод распыления паролей стал отправной точкой в цепочке атак. После того как злоумышленник успешно проходит аутентификацию, он приступает к проверке электронной почты, настраивает правила пересылки писем, а также пытается проникнуть в файловые хранилища, корпоративные чаты и панели администрирования. В некоторых случаях за первым входом следует захват сессии и изменение параметров MFA, после чего подключаются сторонние приложения через OAuth или эксплуатируются устаревшие протоколы, где многофакторная защита работает не в полную силу. По данным «Информзащиты», доля инцидентов, где после распыления паролей были замечены признаки перемещения по облачной среде, увеличилась с 18% в конце 2025 года до 27% в первой половине 2026-го. Это свидетельствует не только о росте числа атак, но и о том, что они стали глубже проникать в облачную инфраструктуру.
Если смотреть по отраслям, чаще всего под удар попадают финансовые учреждения и страховые компании — на них приходится около 24% всех наблюдаемых случаев. Доля ИТ-компаний и сервис-провайдеров составляет 19%, ритейла и e-commerce — 17%, промышленности и логистики — 14%, профессиональных услуг и консалтинга — 11%, образовательных организаций — 8%, а здравоохранения — 7%. У каждого сектора есть свои уязвимости. В финансах атакующих привлекают платежные системы и доступ к данным клиентов, в ИТ — возможность проникнуть в инфраструктуру заказчиков, в ритейле — обилие внешних сервисов и сезонные всплески нагрузки, а в промышленности — сложная сеть подрядчиков и удаленных подключений. Это также подтверждает, что злоумышленники все чаще переходят от простой проверки учетной записи к полноценному перемещению внутри облачной среды.
Анализ векторов атак показывает, что метод распыления паролей используется примерно в 38% попыток получить первичный доступ к корпоративным аккаунтам. На credential stuffing с применением утекших баз данных приходится 24%, на атаки через устаревшие протоколы — 14%, на AiTM-фишинг и повторное использование токенов — 11%, на злоупотребление OAuth-разрешениями и device code flow — 7%, на MFA fatigue — 4%, а на атаки через сервисные учетные записи, API-ключи и другие non-human identities — около 2%. Эти цифры указывают на то, что пароль остается удобной точкой входа, однако сам инцидент почти всегда выходит за ее рамки: от проверки учетной записи до закрепления в почте, облаке или бизнес-приложении. Поэтому фокусироваться только на этапе аутентификации при мониторинге уже недостаточно.
Чтобы минимизировать риски, организациям в первую очередь необходимо деактивировать устаревшие протоколы там, где они не востребованы в бизнес-процессах, внедрять устойчивую к фишингу MFA для привилегированных, финансовых и административных должностей, систематически сверять корпоративные пароли с базами утечек и не допускать их повторного использования в разных сервисах. Особого внимания заслуживают такие действия, как удачные входы после череды неудачных попыток, изменение параметров MFA, создание правил пересылки в электронной почте, предоставление разрешений через OAuth, входы с незнакомых устройств и активность из нехарактерных регионов. Простого блокирования по количеству ошибок уже недостаточно: техника распыления паролей как раз нацелена на обход таких ограничений. Эффективная защита основывается на сопоставлении событий, поведенческом анализе, управлении сессиями, учете сервисных аккаунтов и оперативной проверке каждого успешного входа, которому предшествовала распределенная подозрительная активность. В противном случае атака останется в журналах лишь в виде разрозненных «обычных» событий, не связанных между собой.
