22-04-2026

Tycoon 2FA er ikke død – den findes stadig overalt

- Phishingtrusler ophører ikke på en klart afgrænset måde, siger Saravanan Mohankumar fra Barracudas trusselsanalyse-team.

Efter en international politiaktion i begyndelsen af marts faldt antallet af phishingangreb knyttet til Tycoon 2FA med 77 procent. Men en ny analyse fra Barracuda Networks viser nu, hvordan andre aktører hurtigt overtog Tycoons markedsandele, omfordelte og videreudviklede dets værktøjer, teknikker og kapacitet – og hvordan visse dele, herunder mindre kampagner, slet ikke ændrede sig.

Det dominerende phishing-as-a-service-netværk Tycoon 2FA blev lukket ned i en koordineret indsats fra retshåndhævende myndigheder. Før aktionen stod Tycoon 2FA i gennemsnit for over ni millioner phishingangreb om måneden. Mamba 2FA var dengang den næststørste platform med omkring otte millioner angreb, efterfulgt af Evilproxy med næsten tre millioner. Sneaky 2FA stod for knap 700.000 angreb om måneden.

Angrebsmønstre flytter sig

Efter indsatsen overtog Mamba 2FA rollen som den førende platform og fordoblede sin aktivitet til cirka 15 millioner angreb om måneden. Samtidig faldt aktiviteten fra Tycoon 2FA markant. Trods faldet stod platformen stadig for mere end to millioner angreb.

– Phishingtrusler ophører ikke på en klart afgrænset måde. Angrebsmønstre flytter sig snarere end de forsvinder, og værktøjer overtager og videreudvikler teknikker, der allerede har vist sig effektive, siger Saravanan Mohankumar fra Barracudas trusselsanalyse-team.

– De funktioner, der slog igennem med Tycoon 2FA, er nu integreret i et bredere spektrum af platforme, og vi har allerede set dem blive brugt effektivt i angreb baseret på device code. Det betyder, at det hurtigt bliver forældet at knytte detektion til enkelte phishingkits. For at opbygge reel modstandskraft bør forsvarsstrategier i stedet fokusere på overordnede mønstre for identitetsbaserede angreb og uautoriseret brug af sessioner, fortsætter han.

Derfor lever Tycoon 2FA videre

Ifølge Barracudas trusselsanalytikere er der flere samvirkende årsager til, at Tycoon 2FA stadig optræder i angrebsbilledet:

  • Alt blev ikke fjernet ved indsatsen. Kopier og modificerede versioner af Tycoon 2FA’s angrebskode cirkulerer stadig. Selvstændigt drevne instanser er aktive, og fragmenterede kampagner med lav volumen fortsætter også efter nedlukningen.
  • Genbrug og videreudvikling af phishingkode. PhaaS-værktøjer ligner i stigende grad åbne udviklingsmiljøer. Kode genbruges, tilpasses og flyttes mellem forskellige phishingkits, mens funktioner gradvist spredes fra én platform til en anden.
  • Resterende infrastruktur. Dele af angrebsinfrastrukturen kan leve videre i lang tid. Angrebsdomæner forbliver ofte aktive, indtil de udløber, backup-løsninger undgår nogle gange øjeblikkelig nedlukning, og lavintensive kampagner kan fortsætte uden at udløse automatiske alarmer.
  • Indbygget redundans i moderne phishingrammer. Mange phishingrammer er designet til hurtigt at kunne komme sig efter forstyrrelser. Det kan være i form af backup-løsninger til igangværende kampagner, arbejdsgange til hurtig genstart og kompatibilitet med andre phishingværktøjer.
  • Vedvarende adgang til kompromitterede konti. Når infrastrukturen lukkes ned, ophører angribernes adgang ikke nødvendigvis. Stjålne sessionscookies kan fortsat være gyldige, misbrug af OAuth kan give langvarig adgang til cloudtjenester, og organisationer kan forblive kompromitterede, selv efter at phishingkampagnen er afsluttet.


Web-TV

Se flere film og klip her »
Leverandører
Tilbage til toppen
Luk