Механика распыления паролей основана на том, что злоумышленники не подбирают множество паролей для одной учетной записи, а используют один пароль сразу для большого количества логинов. Такой подход позволяет обходить автоматические системы блокировки, поскольку каждая учетная запись получает лишь одну неудачную попытку в определенный период времени. Атаки часто проводятся по стратегии «low and slow» – злоумышленники растягивают их на недели, распределяя активность по сотням IP‑адресов, чтобы не нарушать пороговые значения систем мониторинга. В крупных кампаниях используется автоматизация, а облачные инфраструктуры дают мгновенное масштабирование и тысячи уникальных точек входа для атаки.
Особую опасность создает качество используемых злоумышленниками данных. По оценкам «Информзащиты», около 85% атакуемых учетных записей уже фигурировали в предыдущих утечках, а каждая встречалась в среднем не менее чем в трех различных дампах. Это означает, что атакующие используют заранее существующие логины, которые когда‑то были скомпрометированы на сторонних сервисах. Для корпоративной безопасности это создает серьезный риск: даже после смены пароля или восстановления доступа, учетная запись остается целью, так как ее логин присутствует в открытых базах данных и может быть использован для дальнейших атак.
Наиболее уязвимыми оказываются сегменты с высокой текучестью пользователей и сложной распределенной инфраструктурой. Согласно исследованиям «Информзащиты», около 52% всех атак password spray направлены на образовательный сектор, где большое количество временных и сервисных аккаунтов, слабая стандартизация управления доступами и обилие внешних интеграций создают благоприятную среду для атак. Сюда также входят малые медицинские учреждения (25%), сервисные компании (16%) и технологический сектор (7%), где старые или неактивные учетные записи становятся легкой точкой входа для злоумышленников.
Недостаточная распространенность многофакторной аутентификации (MFA) усугубляет ситуацию. В анализируемых атаках только 1,5% попыток входа блокировались благодаря MFA, что говорит не о слабости технологии, а о ее недостаточном внедрении в организациях. Особенно критично это для учетных записей, уже участвовавших в утечках, где для успешного входа злоумышленнику требуется лишь отсутствие дополнительных проверок.
Для снижения рисков специалисты «Информзащиты» рекомендуют организациям уделять повышенное внимание учетным записям, фигурирующим в открытых утечках, и переводить их на phishing-resistant MFA. Необходимо регулярно анализировать логи на признаки аномальной активности, отслеживать ошибки аутентификации, блокировать подозрительные ASN, проводить аудит и удалять устаревшие или неактивные учетные записи. Кроме того, компании должны внедрять регулярную смену корпоративных паролей, запрещать их повторное использование и обучать сотрудников основам кибергигиены.