Эксперты компании «Информзащита» фиксируют рост активности атак на корпоративные учетные записи с использованием техники распыления паролей. По данным исследований компании, в 2026 г. злоумышленники ежемесячно задействуют более 12 тыс. уникальных spray IP, каждый из которых атакует не менее 10 учетных записей. По сравнению с концом 2025 г. число таких IP увеличивается в среднем на 11% месяц к месяцу, а доля неуспешных попыток входа в корпоративные сервисы держится на уровне 28%-30%. Для бизнеса это означает, что атака на идентификационные данные фактически превратились в постоянный фоновый процесс: злоумышленники не ждут отдельного повода, а регулярно проверяют облачные сервисы, почтовые системы и удаленные рабочие контуры на слабые пароли и у компаний нет периодов, когда риск можно считать низким. Об этом CNews сообщили представители «Информзащиты».

Техника распыления паролей отличается от классического перебора тем, что атакующий не сосредотачивается на одной учетной записи. Вместо тысяч попыток входа к одному пользователю он берет ограниченный набор популярных, утекших или сгенерированных паролей и последовательно проверяет их на большом массиве сотрудников. Попытки распределяются по разным IP-адресам, странам, автономным системам и временным интервалам. В журналах безопасности такая активность выглядит как множество несвязанных между собой отказов, а не как очевидная брутфорс-атака. Именно поэтому простые правила блокировки по числу ошибок с одного адреса уже не дают нужного эффекта: при использовании только таких порогов распределенные атаки закономерно проходят мимо системы мониторинга и воспринимаются как «нормальный» фон.

Рост таких атак связан с доступностью инфраструктуры. Атакующие используют облачные серверы, прокси-сети, скомпрометированные домашние маршрутизаторы, а также одноразовые узлы, которые быстро выводятся из кампании после попадания в списки блокировки. На практике один и тот же сценарий может одновременно затрагивать десятки организаций, но в каждой из них оставлять лишь слабый след. Отдельную роль играет качество парольных словарей, так как злоумышленники часто формируют их не только из открытых утечек, но и с учетом региональной лексики, названий компаний, корпоративных шаблонов и типовых правил сложности пароля. В результате снижается объем шума, но повышается шанс успешного входа.

В 2026 г. техника распыления паролей используется как первый этап цепочки. После успешной аутентификации атакующий проверяет почтовый ящик, создает правила пересылки, пытается получить доступ к файловым хранилищам, внутренним чатам и административным панелям. В ряде случаев за первичным входом следует попытка захвата сессии и изменения параметров MFA, затем – подключение сторонних приложений через OAuth или проверка устаревших протоколов, где многофакторная аутентификация работает неполноценно. По оценке «Информзащиты», доля инцидентов, в которых после распыления паролей фиксировались признаки дальнейшего движения по облачной среде, выросла с 18% в конце 2025 г. до 27% в I полугодии 2026 г., что говорит не только о росте количества атак, но и о большей «глубине» их развития внутри облачной инфраструктуры

По отраслевой структуре чаще всего такие атаки затрагивают финансовые организации и страховые компании: на них приходится около 24% наблюдаемых случаев. ИТ-компании и сервисные провайдеры занимают 19%, ритейл и e-commerce – 17%, промышленность и логистика – 14%, профессиональные сервисы и консалтинг – 11%, образовательные организации – 8%, здравоохранение – 7%. У каждой отрасли свой фактор риска. В финансах атакующих привлекают платежные процессы и доступ к клиентским данным, в ИТ – возможность выйти на инфраструктуру заказчиков, в ритейле – высокая доля внешних сервисов и сезонные пики нагрузки, в промышленности – сложная сеть подрядчиков и удаленного доступа, что также говорит о том, что злоумышленники чаще переходят от проверки учетной записи к полноценному движению внутри облачной инфраструктуры.

Разбивка по векторам атак показывает, что техника распыления паролей занимает около 38% попыток первичного доступа к корпоративным аккаунтам. На credential stuffing с использованием утекших баз приходится 24%, на атаки через устаревшие протоколы – 14%, на AiTM-фишинг и повторное использование токенов – 11%, на злоупотребление OAuth-разрешениями и device code flow – 7%, на MFA fatigue – 4%, на атаки через сервисные учетные записи, API-ключи и другие non-human identities – около 2%. Эти цифры показывают, что пароль остается удобной точкой входа, но сам инцидент почти всегда развивается шире: от проверки учетной записи до закрепления в почте, облаке или бизнес-приложении, поэтому фокус мониторинга только на этапе аутентификации уже недостаточен.

Для снижения рисков компаниям в первую очередь следует отключать устаревшие протоколы там, где они не нужны бизнесу, вводить phishing-resistant MFA для привилегированных, финансовых и административных ролей, регулярно проверять корпоративные пароли на наличие в утечках и исключать повторное использование паролей между сервисами. Отдельного контроля требуют успешные входы после серии отказов, смена MFA-параметров, создание правил пересылки в почте, выдача OAuth-разрешений, входы с новых устройств и активность из нетипичных регионов. Простых блокировок по числу ошибок уже недостаточно: техника распыления паролей как раз рассчитана на обход таких порогов. Рабочая защита строится на корреляции событий, поведенческой аналитике, контроле сессий, инвентаризации сервисных учетных записей и быстрой проверке каждого успешного входа, которому предшествовала распределенная подозрительная активность. В противном случае атака так и останется в логах в виде набора несвязанных между собой «обычных» событий.

Короткая ссылка