Nyhet -

Tycoon 2FA dog inte – det finns utspritt överallt

Efter ett internationellt tillslag i början av mars minskade antalet Tycoon 2FA-kopplade phishing‑attacker med 77 procent. Men nu visar en ny analys från Barracuda hur andra aktörer snabbt tog över Tycoons marknadsandelar, omfördelade och vidareutvecklade dess verktyg, tekniker och kapacitet – och hur vissa delar, inklusive mindre kampanjer, inte förändrades alls.

I analysen beskriver Barracuda hur det dominerande phishing‑as‑a‑service‑nätverket Tycoon 2FA slogs ut i den samordnade insatsen från rättsvårdande myndigheter, samt vilka konsekvenser detta fått för ekosystemet i stort. Före tillslaget stod Tycoon 2FA i genomsnitt för över nio miljoner phishing‑attacker per månad. Mamba 2FA var då den näst största plattformen med omkring åtta miljoner attacker, följt av EvilProxy med nästan tre miljoner. Sneaky 2FA stod för knappt 700 000 attacker per månad.

Efter tillslaget tog Mamba 2FA över positionen som ledande plattform och fördubblade sin aktivitet till cirka 15 miljoner attacker per månad. Samtidigt föll Tycoon 2FA:s aktivitet kraftigt. Trots minskningen stod plattformen fortsatt för mer än två miljoner attacker.

– Phishinghot upphör inte på ett tydligt avgränsat sätt. Angreppsmönster förflyttas snarare än försvinner, och verktyg tar över och vidareutvecklar tekniker som redan har visat sig fungera, säger Saravanan Mohankumar på Barracudas team för hotanalys.

– De funktioner som fick sitt genomslag genom Tycoon 2FA är nu integrerade i ett bredare spektrum av plattformar, och vi har redan sett dem användas framgångsrikt i attacker baserade på device code. Det gör att det snabbt blir inaktuellt att knyta upptäckt till enskilda phishing‑kit. För att bygga verklig motståndskraft behöver försvarsstrategier i stället fokusera på övergripande mönster för identitetsbaserade angrepp och otillåten av sessioner, fortsätter Saravanan Mohankumar.

Därför lever Tycoon 2FA vidare
Enligt Barracudas hotanalytiker finns flera samverkande orsaker till att Tycoon 2FA fortfarande förekommer i attackflödet:

· Allt slogs inte ut i tillslaget
Kopior och modifierade varianter av Tycoon 2FA:s attackkod cirkulerar fortfarande. Självständigt driftade instanser är aktiva, och fragmenterade kampanjer med låg volym pågår även efter tillslaget.

· Återanvändning och vidareutveckling av phishing‑kod
PhaaS‑verktyg liknar i allt högre grad öppna utvecklingsmiljöer. Kod återanvänds, anpassas och flyttas mellan olika phishing‑kit, samtidigt som funktioner successivt sprids från en plattform till en annan.

· Kvarvarande infrastruktur
Delar av attackinfrastrukturen kan leva vidare under lång tid. Angreppsdomäner är ofta aktiva tills de löper ut, reservlösningar för drift undgår ibland omedelbar nedstängning och lågintensiva kampanjer kan fortsätta utan att trigga automatiska larm.

· Inbyggd redundans i moderna phishing‑ramverk
Många phishing‑ramverk är konstruerade för att snabbt kunna återhämta sig efter störningar. Det kan handla om reservlösningar för pågående kampanjer, arbetsflöden för snabb återlansering och kompatibilitet med andra phishing‑verktyg.

· Bestående åtkomst till komprometterade konton
När infrastrukturen slås ut upphör inte nödvändigtvis angriparens åtkomst. Stulna sessionscookies kan förbli giltiga, OAuth‑missbruk kan ge långvarig tillgång till molntjänster och organisationer kan förbli komprometterade även efter att phishing‑kampanjen avslutats.

Läs mer här»

Relaterade länkar

Ämnen

Kategorier

Kontakter

Relaterad media

Ladda ner bilder för medieanvändning

Relaterat innehåll

  • Identitetsangrepp vanligaste cyberhotet – avvikande inloggningar toppar säkerhetslarmen

    En ny rapport från Barracuda visar att attacker mot användaridentiteter är den vanligaste typen av hot som upptäcks. Inloggningar som är fysiskt omöjliga och avviker från användarens normala beteende är en av de tydligaste varningssignalerna på ett pågående intrång. Försöker en medarbetare logga in från Malmö och Hanoi nästan samtidigt är det något som måste utredas direkt.

  • Mycket hög risk att drabbas av utpressning för företag som agerar sent på e-postintrång

    En ny undersökning från Barracuda Networks visar att företag som tar mer än nio timmar på sig att hantera ett säkerhetsintrång via e-post löper 79 procent risk att bli offer för ransomware. I rapporten Email Security Breach Report 2025 framkommer också att hela 87 procent av nordiska företag (Sverige, Danmark, Norge och Finland) haft ett e-postintrång under de senaste 12 månaderna.

    Företag som är långsamma att åtgärda säkerhetsintrång via e-post löper stor risk att drabbas av ransomware.

  • Anställda installerar piratkopierad programvara på arbetsdatorer – trots hög risk för skadlig kod

    Säkerhetsföretaget Barracuda har vid upprepade tillfällen upptäckt att användare försöker installera piratkopierade eller manipulerade versioner av programvara på sina arbetsenheter. Samtliga fall stoppades av säkerhetstjänsten Barracuda Managed XDR innan de hann få fäste, men händelserna visar hur den här typen av mjukvara kan bli en ingång till allvarliga säkerhetsincidenter.

  • Microsoft Teams och Facebook utnyttjas i nya nätfiskeattacker

    Säkerhetsexperter på Barracuda Networks varnar för e-postbaserade attacker där välkända plattformar som Microsoft Teams och Facebook används för att lura mottagare att lämna ifrån sig inloggningsuppgifter och betalningsinformation. Hoten är ett par av flera som lyfts fram i Barracudas senaste ”Email Threat Radar”.

  • Antalet nätfiskepaket fördubblades under 2025 – hoten blir mer sofistikerade

    Antalet kända phishing-as-a-service-kit (PhaaS) fördubblades under 2025, vilket ökar pressen på säkerhetsteam som försöker skydda sig mot alltmer avancerade attacker. Det visar Barracudas årliga granskning av nätfiske för 2025. Nya nätfiskepaket som Whisper 2FA och GhostFrame introducerade innovativa och svårupptäckta metoder, bland annat tekniker som försvårar analys av skadlig kod.

    Antalet kända phishing-as-a-service-kit (PhaaS) fördubblades under 2025, vilket ökar pressen på säkerhetsteam.

  • Hackare använder företagets egna verktyg för att undgå upptäckt

    Cyberangrepp förknippas ofta med att hackare installerar ny och okänd skadlig kod i offrets system. Men så behöver det inte alltid vara. I ett nyligen stoppat fall med ransomware-familjen Akira använde angriparna en metod kallad ”Living off the Land” (LOTL). Den går ut på att utnyttja redan installerade och fullt legitima IT-verktyg för att genomföra attacken.

    I ett nyligen stoppat fall med ransomware-familjen Akira använde angriparna en metod kallad ”Living off the Land” (LOTL).
Fyll i din epostadress för att följa Barracuda Networks på Mynewsdesk

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av Mynewsdesk och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs Mynewsdesks Integritetspolicy som berör vår behandling av dina personuppgifter, och Mynewsdesks Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att Mynewsdesks Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Barracuda Networks.

Okej