По словам Трелликса, высокоэффективный метод атаки методом перебора не требует больших усилий. Организации со слабой политикой паролей или без MFA особенно подвержены риску.
LuisPortugal/Getty Images Plus через Getty Images
Краткий обзор:
- Атаки с распылением паролей принесли злоумышленникам успешные результаты Центр передовых исследований Trellix сообщил в своем исследовательском отчете в среду, что во втором и третьем кварталах наблюдались резкие изменения в нескольких секторах в Северной Америке и Европе.
- Trellix обнаружил, что поверхность атаки с помощью распыления паролей огромна. Злоумышленники обычно нацелены на облачные системы, включая Microsoft 365, Okta, Google Workspace, VPN, Windows Remote Desktop, AWS, Google Cloud Platform и Microsoft Azure.
- В отчете говорится, что в течение шестимесячного периода злоумышленники чаще всего нацеливали атаки с помощью распыления паролей на образовательные, энергетические и транспортные организации.
Аналитика погружения:
Атаки с использованием паролей — это не просто эффективный метод атаки методом подбора для групп угроз, говорят исследователи Trellix. Этот режим атаки трудно обнаружить и приписать группам угроз, поскольку они часто работают непрерывно в фоновом режиме в масштабе широко распространенных ботнетов.
Этот низкий риск обнаружения и высокая окупаемость инвестиций дают злоумышленникам преимущество, особенно когда они нацелены на организации со слабой политикой паролей или системы без многофакторной аутентификации.
Связанная с Россией группа угроз Midnight Blizzard закрепилась в учетных записях электронной почты руководителей высшего звена Microsoft в прошлом году после того, как она скомпрометировала устаревшую учетную запись непроизводственного тестового клиента с помощью атаки с использованием паролей.
Midnight Blizzard использовала этот доступ для кражи электронных писем руководителей Microsoft и других документов. Атака с использованием паролей началась в конце ноября, и Microsoft обнаружила ее только 12 января.
Группы угроз могут нацеливаться на организации с помощью атак с использованием паролей после получения имен пользователей или вывода шаблонов имен пользователей и сопоставления этих данных со списком сотрудников, заявили исследователи Trellix в отчете.
С этими идентификаторами учетных записей злоумышленники могут использовать несколько «прокси-узлов или узлов VPN для непрерывной проверки большого списка паролей для каждой учетной записи в течение длительного периода времени», — говорится в отчете.
MFA обычно упоминается в качестве меры предотвращения атак на основе идентификационных данных. Тем не менее, Trellix заявила, что ожидает, что злоумышленники продолжат обходить MFA с помощью социальной инженерии.
«Мы, вероятно, увидим больше автоматизированных методов, управляемых/применяемых ИИ, которые сделают атаки с использованием паролей более эффективными, уклончивыми и адаптивными», — говорится в отчете.