Эксперты сообщили об увеличении использования хакерами словарных паролей

В III квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. С начала года число подобных инцидентов выросло в два раза, достигнув рекордных значений. Одна из причин — резкий рост атак типа «распыление паролей», то есть подбор логина к имеющемуся словарному паролю. Это следует из данных центра противодействия кибератакам Solar JSOC ГК «Солар», с которыми ознакомились «Известия» 29 октября.

Объясняется, что подобная атака является разновидностью брутфорса, то есть техники взлома учетной записи, при которой перебираются все возможные варианты логинов и паролей. В данном случае речь идет о попытках злоумышленников подобрать разные логины к одному словарному паролю. Такие пароли — это несложные комбинации, которые состоят из распространенных слов и фраз (12345, Qwerty, Password_0000 и т.п.).

«Всё чаще ИБ-службы организаций отслеживают попытки злоумышленников много раз ввести разные пароли к конкретной учетной записи. В случае подобного инцидента учетную запись сразу заблокируют. Но перебор логина может выглядеть как неудачные попытки входа разных пользователей, что не всегда индексируется как инцидент», — пояснила руководитель направления развития бизнеса центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова.

По ее словам, чтобы защититься от подобных атак, организациям надо отслеживать перебор логинов наравне с паролями, а также настроить политики безопасности, которые не дадут сотрудникам придумывать простые комбинации. Также словари могут включать ранее утекшие пароли, поэтому в компаниях должна быть практика их регулярной замены.

DDoS и после: Россия стала девятой в списке основных мишеней хакеров

А главными целями атак остаются США, Индия и Китай

Как указано, распыление паролей — не единственная причина инцидентов, связанных с компрометацией учетных записей в III квартале. Часть из них произошла из-за инцидента типа «неправильная геолокации VPN-подключений». Причиной могут быть действия хакера, который пытается скомпрометировать учетные записи сотрудников с адресов, находящихся в подозрительных локациях, например в других странах.

Отмечается, что в то же время такая категория инцидентов может быть вызвана нелегитимными действиями самих сотрудников. Например, если они едут в командировку, не уведомив ИБ-отдел, или берут с собой рабочие ноутбуки на отдых.

Это тревожный тренд в условиях колоссальной киберугрозы, с которой столкнулась российская инфраструктура — любая несогласованность в части кибербезопасности создает новые риски для организации. А поток подобных событий ИБ формирует дополнительную нагрузку как на мониторинг, так и на ИБ-отделы компаний, которые должны отрабатывать эти оповещения, добавили в центре.

Ранее, 23 октября, аналитики компании по кибербезопасности StormWall сообщили «Известиям» о том, что в топ-3 наиболее атакуемых хакерами стран в III квартале 2024 года вошли США, Индия и Китай. Россия же стала девятой в этом списке.