AiTM-Plattform Tycoon 2FA zerschlagen

In einer konzertierten Aktion haben Hersteller, Security-Anbieter und internationale Sicherheitsbehörden die Infrastruktur von Tycoon 2FA zerstört, die als Phishing-as-a-Service-Plattform vor allem dazu genutzt wurde, Multi-Faktor-Authentifizierung über Adversary-in-the-Middle-Angriffe auszuhebeln.

Eine internationale Allianz aus Herstellern wie Microsoft, IT-Security-Anbietern wie Proofpoint und Cloudfare sowie Behörden wie Europol und weiteren Organisationen hat die Infrastruktur von Tycoon 2FA zerschlagen. In den vergangenen zwei Jahren hatte sich das Phishing-Kit von Tycoon 2FA zu einer bevorzugten Methode Cyberkrimineller für Adversary-in-the-Middle (AiTM-) Angriffe entwickelt, mit denen oft auch die Multi-Faktor-Authentifizierung (MFA) ausgehebelt wurde. "Tycoon 2FA war eine der bei Cyberkriminellen beliebtesten Phishing-as-a-Service-Plattformen, mit dem höchsten Volumen an Adversary-in-the-Middle (AiTM-) Angriffen in den Daten von Proofpoint", erklärt Selena Larson, Staff Threat Researcher bei Proofpoint. "Die Angriffe von Tycoon haben zu Zehntausenden kompromittierten Konten bei wichtigen Unternehmen in Gesundheitswesen, Bildung, Regierung und Verteidigung geführt."

MFA ausgehebelt

Bei den vor allem über E-Mail laufenden Kampagnen zur Entwendung von Zugangsdaten wurden die Opfer mit bösartigen Links, QR-Codes, SVGs oder Anhängen mit URLs zur Aktion verleitet und anschließend zu einer von den Angreifern kontrollierten URL weitergeleitet, die sich unter Vorschaltung einer eindeutigen CAPTCHA-Auflösung als Microsoft- oder Google-Anmeldeportal ausgab. Indem die Cyberkriminellen dort in vielen Fällen zudem das Azure Active Directory-Branding der Zielorganisation integrierten, wurde potenziellen Opfern glaubwürdig vorgegaukelt, sich auf einer legitimen Anmeldeseite ihres Unternehmens zu befinden. "Diese Cyberangriffe, die eine vollständige Kontoübernahme ermöglichen, können katastrophale Folgen haben, darunter Ransomware oder den Verlust sensibler Daten", führt Larson weiter aus. "Der Zugriff auf Unternehmens-E-Mail-Konten ist oft der erste Schritt in einer Angriffskette, die zerstörerische Konsequenzen nach sich ziehen kann."

Wie bedeutend dieser Schlag ist, lässt sich anhand aktueller Zahlen und Telemetriedaten von Proofpoint ermessen, denen zufolge im vergangenen Jahr praktisch jedes Unternehmen (99 Prozent) mit versuchten Kontoübernahmen zu kämpfen hatten. Dank immer ausgefeilterer Tools gelang den Angreifern dies in 67 Prozent der Fälle auch; und das, obwohl mehr als die Hälfte der betroffenen Accounts durch MFA geschützt waren. "Zwar standen nicht alle diese Angriffe im Zusammenhang mit Tycoon 2FA, doch zeigt dies die Auswirkungen von AiTM-Phishing auf Unternehmen", so Larson.

Schwerer Schlag gegen MFA-Credential-Phishing

Ihr Unternehmen hatte seit 2024 eine steigende Zahl entsprechender E-Mail-Angriffe über das Tycoon 2FA-Phishing-Kit verzeichnet. Je nachdem, ob sie sich gezielt auf einzelne kritische Accounts fokussierten oder allgemeinen Zutritt suchten, dauerten diese zwischen einem Tag und einer Woche und umfassten nur eine Handvoll oder auch Millionen von Nachrichten.

Aufgrund dieser zentralen Rolle von Tycoon 2FA und weil im Rahmen der Aktion auch Hintermänner dingfest gemacht werden konnten, geht Larson davon aus, dass der Takedown nachhaltige Wirkung erzielt: "Die Abschaltung der mit Tycoon 2FA verbundenen Infrastruktur und die Identifizierung der Person, die mutmaßlich für die Entwicklung dieses produktiven Hacking-Tools verantwortlich ist, werden erhebliche Auswirkungen auf das gesamte MFA-Credential-Phishing haben und dem weltweit produktivsten AiTM-Phishing-as-a-Service-Angebot hoffentlich einen Schlag versetzen."

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden