Trend Micro betrokken bij offline halen van phishingplatform Tycoon 2FA

TrendAI meldt dat zijn TrendAI-team bijdroeg aan het onderzoek door dreigingsinformatie, infrastructuuranalyse en identificatie van verdachten te leveren. Deze gegevens vormden de basis voor de acties van handhavingsinstanties. Tycoon 2FA verscheen in augustus 2023 als een abonnementsgebaseerde dienst die phishingcampagnes vereenvoudigde voor criminelen. In plaats van enkel wachtwoorden te stelen, kaapte het platform live authenticatiesessies, waardoor aanvallers toegang kregen tot accounts zonder dat MFA-beveiliging hen tegenhield. Op het hoogtepunt telde het platform ruim 2.000 gebruikers en waren meer dan 24.000 domeinen betrokken bij de campagnes. De focus lag met name op Microsoft 365 en andere clouddiensten.

SaaadFridi of MrXaac

Uit onderzoek van TrendAI bleek dat de dienst werd beheerd door een actor met de schuilnamen SaaadFridi en MrXaac. Deze persoon, die eerder betrokken was bij website-defacement, werd geïdentificeerd als de hoofdontwikkelaar. De verzamelde inlichtingen over infrastructuur, tools en operationeel gedrag werden overgedragen aan Europol.

“Dit was geen op zichzelf staande phishingcampagne. Het was een geïndustrialiseerde dienst die is ontwikkeld om MFA-bypass toegankelijk te maken voor duizenden criminelen”, aldus Robert McArdle, directeur Cybercrime Research bij TrendAI. “Identiteit is nu het belangrijkste aanvalsoppervlak. Wanneer inlogsessies kunnen worden verpakt en verkocht als abonnement, verschuift het risico van geïsoleerde incidenten naar systemische kwetsbaarheid.”

Risico’s van phishing-as-a-service

Hoewel dergelijke platforms vaak als minder bedreigend worden gezien dan ransomware, dienen ze regelmatig als toegangspoort voor verdere aanvallen. Gestolen inloggegevens en sessietokens worden doorverkocht op criminele marktplaatsen of gebruikt voor zakelijke e-maildiefstal, datalekken of ransomware-infecties. Door de technische drempel te verlagen, maakte Tycoon 2FA geavanceerde identiteitsfraude toegankelijk voor een breder publiek.

Ondanks de ontmanteling kunnen eerder gestolen gegevens nog in omloop zijn. Organisaties wordt geadviseerd om:

• Phishingbestendige authenticatie in te voeren, zoals FIDO2-sleutels, en strikte toegangsbeperkingen te handhaven.
• Geavanceerde e-mail- en samenwerkingsbeveiliging toe te passen die laterale phishing en merkimitatie detecteert.
• Real-time URL-inspectie en webcontentanalyse te gebruiken om nep-inlogpagina’s te blokkeren.
• Continu identiteitsrisico’s te monitoren en afwijkend sessiegedrag direct te onderzoeken.
• Regelmatige phishing-simulaties en bewustwordingstrainingen uit te voeren.

De actie tegen Tycoon 2FA benadrukt het belang van samenwerking tussen private en publieke partijen in de strijd tegen cybercriminaliteit. Toezicht en preventie blijven essentieel, aangezien dreigingsactoren voortdurend hun tactieken aanpassen.

“De uitschakeling van Tycoon 2FA laat zien wat mogelijk is wanneer er gezamenlijke actie wordt ondernomen op basis van onderbouwde en duidelijke informatie”, aldus Robert McArdle. “We zullen de actoren, infrastructuur en gebruikers achter deze diensten blijven volgen om onze klanten te beschermen en de operationele kosten van dit ecosysteem te verhogen.”

TrendAI meldt de activiteiten te blijven monitoren, waaronder pogingen om de dienst onder een nieuwe naam of infrastructuur voort te zetten. Ook ondersteunt het bedrijf vervolgonderzoek naar geïdentificeerde gebruikers en beheerders. Meer informatie over de gezamenlijke actie van Europol, Microsoft, TrendAI en andere partners tegen Tycoon 2FA is hier te vinden.