Брутфорс — это кибератака, при которой злоумышленник пытается получить доступ к системе, последовательно проверяя тысячи возможных комбинаций логина и пароля. Метод остается эффективным из-за слабых паролей и недостаточной защиты систем. Так, в 2025 году число кибератак на российский бизнес снова выросло: по-прежнему много атак, направленных на взлом учетных записей, и брутфорс остается одним из основных инструментов злоумышленников. Эксперты Контур.Эгиды рассказывают, почему метод перебора остается эффективным и какие меры защиты действительно работают в текущих условиях.
Что такое брутфорс
Название происходит от английского brute force — «грубая сила», что точно отражает суть метода. Атака строится не за счет умного поиска уязвимостей, а за счет применения вычислительной мощи. Злоумышленник пытается получить доступ к системе, последовательно проверяя огромное количество возможных комбинаций логина и пароля.
Принцип работы
В основе брутфорс-атаки лежит простой алгоритм: программа-«переборщик» автоматически генерирует логины и пароли и пытается использовать их для аутентификации в целевой системе. Этот процесс продолжается до тех пор, пока не будет найдена работающая пара учетных данных.
Основной фактор метода — время, необходимое для подбора. Оно напрямую зависит от длины и сложности пароля. Например, шестизначный пароль, состоящий только из строчных латинских букв, имеет примерно 308 миллионов возможных комбинаций. Современное оборудование может проверить их все практически мгновенно.
Рассмотрим в таблице, как сложность пароля влияет на время подбора
| Количество символов | Только цифры | Только строчные буквы | Строчные и заглавные буквы | Цифры, строчные и заглавные | Цифры, строчные и заглавные буквы, символы |
|---|---|---|---|---|---|
|
4 |
Мгновенно |
Мгновенно |
3 сек |
6 сек |
9 сек |
|
5 |
Мгновенно |
4 сек |
2 мин |
6 мин |
10 мин |
|
6 |
Мгновенно |
2 мин |
2 часа |
6 часов |
12 часов |
|
7 |
4 сек |
50 мин |
4 дня |
2 недели |
1 месяц |
|
8 |
37 сек |
22 часа |
8 месяцев |
3 года |
7 лет |
|
9 |
6 мин |
3 недели |
33 года |
161 год |
479 лет |
|
10 |
1 час |
2 года |
1 тыс. лет |
9 тыс. лет |
33 тыс.лет |
|
11 |
10 часов |
44 года |
89 тыс. лет |
618 тыс. лет |
2 млн лет |
|
12 |
4 дня |
1 тыс. лет |
4 млн лет |
38 млн лет |
164 млн лет |
|
13 |
1 месяц |
29 тыс. лет |
241 млн лет |
2 млрд лет |
11 млрд лет |
|
14 |
1 год |
766 тыс. лет |
12 млрд лет |
147 млрд лет |
805 млрд лет |
|
15 |
12 лет |
9 млн лет |
652 млрд лет |
9 трлн лет |
56 трлн лет |
|
16 |
119 лет |
517 млн лет |
33 трлн лет |
566 трлн лет |
3 квадрлн лет |
|
17 |
1 тыс. лет |
13 млрд лет |
1 квадрлн лет |
35 квадрлн лет |
276 квадрлн лет |
|
18 |
11 тыс. лет |
350 млрд лет |
91 квадрлн лет |
2 квинтлн лет |
19 квинтлн лет |
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Как происходит атака на практике
Брутфорсе редко выглядит как бессистемная проверка всех символов подряд. Злоумышленники используют оптимизированные сценарии:
Разведка. Атакующий определяет точку входа — адрес страницы входа в админ-панель сайта, SSH-сервер, почтовый ящик и т.д.
Подготовка. Собираются или генерируются словари возможных логинов и паролей. Часто используются базы, слитые после утечек с других сервисов.
Автоматизация. С помощью специальных программ запускается автоматический перебор. Мощности графических процессоров (GPU) позволяют проверять миллиарды паролей в секунду.
Обход защиты. Чтобы избежать блокировки по IP, атаки распределяются через бот-сети — армии зараженных компьютеров по всему миру, что маскирует попытки входа под легитимный трафик.
Яркой иллюстрацией этого процесса стали массовые атаки на корпоративные сети крупных российских компаний через VPN и RDP в середине 2025 года. Группы хакеров провели скоординированную кампанию, в которой четко прослеживались все описанные этапы.
Виды брутфорс-атак
Тактика перебора эволюционировала, и сегодня есть несколько видов атак, каждый из которых эффективен по-своему.
Полный перебор
Классический метод, при котором программа перебирает все возможные комбинации символов в заданном диапазоне. Например, для пароля из четырех цифр она начнет с «0000», затем «0001», «0002» и так до «9999». Хотя такой подход гарантирует результат, на практике он применяется редко для длинных паролей из-за колоссальных вычислительных затрат. Однако для коротких или слабых паролей он эффективен.
Словарная атака
Это более умный и поэтому более распространенный метод. Вместо генерации случайных комбинаций программа использует заранее подготовленный список (словарь) самых вероятных паролей. Такой список включает:
- Стандартные комбинации: admin, password, 123456, qwerty.
- Популярные слова на разных языках.
- Пароли, ранее скомпрометированные в результате утечек данных и опубликованные в открытом доступе или darknet.
Эффективность словарной атаки пугающе высока, так как множество пользователей по-прежнему используют простые и предсказуемые пароли. По данным «Лаборатории Касперского», каждый десятый утекший в 2023-2025 гг пароль содержал число, похожее на дату от «1990» до «2025», самая распространенная комбинация — 12345, а слово — «love».
Гибридный брутфорс
Это комбинация двух предыдущих методов. Атакующий берет за основу слова из словаря, но к каждому из них применяет простые правила модификации: добавляет цифры в конце, например password2025, заменяет буквы похожими символами, например P@ssw0rd, или меняет регистр. Этот метод особенно опасен, так как позволяет подбирать пароли, которые пользователи считают сложными, создавая их по шаблонным правилам.
Обратный брутфорс
Здесь логика атаки меняется с точностью до наоборот. Если в классическом сценарии к одному логину подбирается много паролей, то в обратном — один или несколько распространенных паролей проверяются против огромного списка логинов, например, корпоративных email-адресов.
Такой подход позволяет злоумышленникам обходить защиту, блокирующую аккаунт после нескольких неудачных попыток ввода пароля. Атака становится менее «шумной», а значит долго остается незамеченной.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Почему брутфорс опасен
Это отправная точка для цепочки событий, которая может привести к прямым финансовым убыткам, огромным штрафам от регуляторов и потере клиентов.
Последствия для сайтов и пользователей
Успешная атака открывает злоумышленнику те же возможности, что и легитимному пользователю. Масштаб ущерба зависит от уровня полученного доступа:
- Компрометация данных. Кража баз данных с персональными данными клиентов (ФИО, паспортные данные, телефоны, адреса), что является прямым нарушением 152-ФЗ «О персональных данных». За утечку компанию могут привлечь к административной или даже уголовной ответственности.
- Финансовые потери. Прямой вывод средств, если доступ получен к платежным системам или банковским аккаунтам.
- Репутационный ущерб. Взломанный сайт или корпоративный аккаунт в соцсети может быть использован для распространения ложной информации, фишинга или вредоносного контента, что подрывает доверие клиентов.
- Использование ресурсов. Злоумышленники часто используют скомпрометированные серверы для майнинга криптовалют, размещения запрещенного контента или в качестве плацдарма для атак на другие системы.
- Шантаж и вымогательство. Данные могут быть зашифрованы или украдены с последующим требованием выкупа.
Реальные примеры атак
Постоянный перебор учеток к публичным серверам
Публичные SSH-серверы ежедневно подвергаются тысячам автоматических атак, и здесь часто используется брутфорс, чтобы найти сервер со слабым паролем. Обычный сервер может получать от 2 000 до 5 000 попыток взлома SSH в день.
Российская хостинг-компания из Екатеринбурга столкнулась с астрономическим счетом за электроэнергию — 450 тысяч рублей вместо обычных 30 тыс. Все дело в том, что злоумышленники подобрали простой пароль к SSH и использовали доступные вычислительные ресурсы клиентов для майнинга криптовалюты.
Взлом систем управления контентом
«Лаборатория Касперского» обнаружила вредоносную программу Efimer, которая крала криптовалюту с компьютеров жертв. Ее особенностью был дополнительный модуль для атаки на сайты. При каждом запуске вирус пытался взломать административную панель движка WordPress, автоматически подбирая пароль из вшитого в его код короткого списка самых простых комбинаций.
Эта функция превращала каждый зараженный компьютер в инструмент для брутфорс-атак. Если пароль администратора сайта совпадал с одним из вариантов в списке, злоумышленники получали полный контроль над ресурсом. Это могло привести к его дальнейшему заражению, размещению мошеннического контента или использованию в других атаках.
Атаки на критическую инфраструктуру
Инциденты показывают, что даже важнейшие объекты могут быть уязвимы перед простым перебором, например взлом системы управления плотиной в Норвегии. Хакерам удалось получить доступ к веб-интерфейсу управления шлюзом плотины и на четыре часа открыть клапан. Эксперты считают, что атака стала возможной из-за использования слабого пароля для доступа — его взломали за минуту.
Как предотвратить брутфорс
Одного надежного пароля недостаточно, чтобы остановить брутфорс. Успешная защита строится на последовательных рубежах: если атакующий преодолевает один, его останавливает следующий. Правильная комбинация технических настроек и политик безопасности делает автоматический перебор бесполезным.
Ограничить попытки входа
Одна из самых эффективных технических мер. Ее суть — заблокировать IP-адрес или учетную запись после определенного числа неудачных попыток входа за короткий промежуток времени. Например, 5 попыток за 5 минут. Это резко замедляет автоматизированный перебор и делает его экономически невыгодным.
Настроить CAPTCHA и многофакторную аутентификацию
CAPTCHA (или ее более современная версия reCAPTCHA) — это проверка, которая позволяет отличить человека от бота. Ее включение на страницу входа останавливает автоматизированные скрипты, так как требует человеческого взаимодействия для решения задачи.
Многофакторная аутентификация (2FA) — золотой стандарт защиты. Даже если пароль будет подобран, злоумышленнику для входа потребуется второй фактор, например одноразовый код из SMS, приложения-аутентификатора, push-уведомление или физический ключ безопасности. Это делает скомпрометированный пароль бесполезным.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Использовать сильные пароли
Политика создания сложных паролей — фундамент безопасности против любой угрозы, включая брутфорс:
- Минимальная рекомендуемая длина — 12 символов, для критичных систем — 16 и более.
- Пароль должен быть случайным набором символов. Избегайте осмысленных слов, дат, имен.
- Для каждого сервиса должен быть свой пароль, чтобы компрометация одного аккаунта не привела к взлому остальных.
- Использование менеджеров паролей: такие сервисы генерируют, хранят и автоматически подставляют сложные уникальные пароли, освобождая пользователя от необходимости их запоминать.
Надежно защищать серверы
Для защиты инфраструктуры необходимы административные меры:
- Отключите аутентификацию по паролю для SSH: использование пары криптографических ключей (публичного и приватного) вместо пароля делает подбор невозможным.
- Смените стандартные порты: перенос SSH с порта 22 на нестандартный снижает количество фонового сканирования и автоматических атак.
- Используйте принцип наименьших привилегий: каждая учетная запись в системе должна иметь ровно столько прав, сколько необходимо для работы, и не более. Это ограничивает ущерб в случае взлома.
- Регулярно обновляйте ПО: устаревшее программное обеспечение, включая CMS и плагины, часто содержит уязвимости, которые могут упростить задачу атакующему, даже если пароль надежен.
Инструменты и сервисы для защиты
Для реализации защитных мер есть ряд проверенных инструментов: от бесплатных решений до комплексных облачных сервисов.
Fail2Ban и аналоги
Fail2Ban — инструмент для автоматического реагирования на уже обнаруженную в логах угрозу. Он постоянно сканирует логи в реальном времени и сам выполняет действие — блокирует атакующий IP. Обнаружив в логах несколько неудачных попыток входа с одного IP-адреса за заданный период, Fail2Ban автоматически добавляет правило для его блокировки в фаервол на определенное время.
Веб-приложение фаервол (WAF) — специальный фильтр, который анализирует HTTP-трафик, идущий к вашему веб-сайту. Современные WAF имеют встроенные правила для обнаружения и блокировки брутфорс-атак. Они могут отличать легитимные запросы на авторизацию от автоматизированного перебора, анализируя поведенческие паттерны.
Мониторинг логов
Мониторинг логов — ручной или автоматизированный анализ записей системных событий. Такой анализ позволяет не только задним числом расследовать инциденты, но и выявлять сложные аномалии, которые не улавливаются простыми правилами. Специалист изучает логи, чтобы увидеть полную картину атаки, понять ее источник, масштаб и найти следы скрытого взлома, который мог обойти автоматическую блокировку.
Чтобы остановить брутфорс, обращают внимание на:
- Неудачные попытки входа — их резкий рост с определенных IP-адресов или для определенных учетных записей.
- Необычное время активности — попытки входа в нерабочие часы.
- Геолокацию IP — входы из стран, где у компании нет пользователей или партнеров.
Для автоматизации мониторинга используются системы SIEM (Security Information and Event Management), которые агрегируют логи со всех источников, коррелируют события и генерируют оповещения о подозрительной активности.
Заключение
Брутфорс — это не анахронизм, а живая и постоянно эволюционирующая угроза. Эффективность атаки основана на человеческом факторе: слабых паролях, повторном использовании учетных данных и недостаточной настройке базовых мер защиты. Проверьте свои системы сегодня. Убедитесь, что для всех критичных сервисов включена 2FA, настроены правила блокировки при множественных неудачах, а пароли соответствуют современным стандартам сложности.