De internationale ontmanteling van phishing-as-a-service-platform Tycoon 2FA heeft het aanvalsvolume fors teruggebracht, maar heeft de dreiging niet geëlimineerd. Concurrerende platforms namen het vrijgekomen marktaandeel snel over en de activiteit van Tycoon 2FA zelf is nog steeds goed voor miljoenen aanvallen per maand. Onderzoek van Barracuda laat zien hoe veerkrachtig het moderne phishingecosysteem is.
Begin maart werd Tycoon 2FA, destijds het meest actieve phishing-as-a-service-platform, ontwricht door een internationale politie- en justitieactie. Vóór die ingreep werden via het platform gemiddeld meer dan 9 miljoen phishingaanvallen per maand uitgevoerd. Concurrent Mamba 2FA volgde met ongeveer 8 miljoen aanvallen, EvilProxy stond derde met bijna 3 miljoen en Sneaky 2FA was verantwoordelijk voor bijna 700.000 aanvallen per maand.
Na de ontmanteling daalde de activiteit van Tycoon 2FA met 77 procent, maar bleef het platform verantwoordelijk voor ruim 2 miljoen aanvallen per maand. Mamba 2FA groeide uit tot het dominante platform met een verdubbeling naar 15 miljoen aanvallen, EvilProxy steeg naar circa 4 miljoen en Sneaky 2FA verdrievoudigde naar bijna 2 miljoen aanvallen.
Waarom Tycoon 2FA blijft voortbestaan
Barracuda beschrijft in zijn onderzoek vijf factoren die verklaren waarom de ontmanteling geen volledig einde maakte aan de dreiging. Ten eerste blijven gekloonde en aangepaste varianten van de aanvalscode van Tycoon 2FA in omloop, ook via onafhankelijk gehoste implementaties. Kleine campagnes met een laag volume blijven daardoor gewoon actief.
Daarnaast gedragen PhaaS-toolsets zich steeds meer als open-sourceontwikkelomgevingen. Code wordt hergebruikt, aangepast en opnieuw ingezet, en technieken migreren van de ene phishingkit naar de andere. Ten derde blijft een deel van de aanvalsinfrastructuur actief: domeinen lopen gewoon door tot ze verlopen, back-uphosting ontloopt vaak de directe inbeslagname en kleinere campagnes die onder de waarschuwingsdrempels blijven, overleven de eerste responsinspanningen.
Moderne phishing-frameworks bevatten bovendien ingebouwde redundantie, zoals failover-infrastructuur voor continuïteit van lopende campagnes en werkwijzen voor snel herstel na een verstoring. Tot slot betekent het platleggen van infrastructuur niet dat eerder getroffen organisaties veilig zijn. Gestolen session cookies kunnen geldig blijven, misbruik van OAuth kan cloudtoegang mogelijk maken en organisaties kunnen ook na het einde van een campagne nog steeds gecompromitteerd zijn.
Technieken migreren, ze verdwijnen niet
Saravanan Mohankumar, Manager van het Threat Analysis Team bij Barracuda, stelt dat phishingdreigingen niet netjes eindigen. Aanvalspatronen migreren in zijn ogen in plaats van te verdwijnen, en tools nemen bewezen technieken over en verfijnen die verder. De mogelijkheden die Tycoon 2FA populair maakte, zijn inmiddels opgepikt door tal van andere platforms en zijn volgens Mohankumar al succesvol ingezet bij aanvallen op apparaatcodes. Hij geeft aan dat detectietechnieken die aan individuele kits zijn gekoppeld, snel verouderd raken. Voor echte weerbaarheid moeten defensieve strategieën zich richten op brede modellen van op identiteit gebaseerde aanvallen en sessiemisbruik, stelt Barracuda.
Meer informatie is hier beschikbaar.
