Voor de ontmanteling was Tycoon 2FA volgens Barracuda goed voor gemiddeld meer dan 9 miljoen phishing-aanvallen per maand. Daarmee was het op dat moment het grootste platform in zijn soort. Mamba 2FA volgde met ongeveer 8 miljoen aanvallen per maand, EvilProxy met bijna 3 miljoen en Sneaky 2FA met zowat 700.000 aanvallen.

Na de internationale actie tegen Tycoon veranderde dat beeld snel. Mamba 2FA groeide uit tot het dominante phishing-platform en verdubbelde zijn activiteit tot ongeveer 15 miljoen aanvallen per maand. Ook EvilProxy en Sneaky 2FA lieten een forse stijging optekenen. De activiteit van Tycoon zelf viel wel sterk terug maar bleef met meer dan 2 miljoen aanvallen per maand nog altijd aanzienlijk.

Barracuda wijst erop dat de afname van Tycoon 2FA niet betekent dat de onderliggende dreiging verdwenen is. Volgens de onderzoekers blijven gekloonde of aangepaste varianten van de oorspronkelijke aanvalscode circuleren. Daarnaast blijven onafhankelijk gehoste implementaties actief en kunnen kleinschaligere phishing-campagnes onder de radar verder lopen.

Een tweede vaststelling is dat phishing kits steeds meer trekken krijgen van open source-ontwikkelomgevingen. Aanvallers hergebruiken en herschrijven code terwijl functies en technieken van de ene kit naar de andere migreren. Daardoor wordt het moeilijker om phishing uitsluitend te bestrijden op basis van één specifieke tool of handtekening.

Ook infrastructuur die eerder voor Tycoon 2FA werd gebruikt, kan deels in leven blijven. Domeinen blijven bijvoorbeeld bruikbaar tot ze verlopen terwijl reserve-hosting of alternatieve omgevingen niet altijd meteen worden uitgeschakeld. Net die restinfrastructuur kan ervoor zorgen dat phishing-campagnes langer stand houden dan aanvankelijk wordt aangenomen.

Verder beschikken moderne phishing frameworks vaak over ingebouwde redundantie. Denk aan failover-infrastructuur, herstelprocedures en compatibiliteit met andere phishing kits. Zulke mechanismen maken het voor aanvallers eenvoudiger om verstoringen op te vangen en hun campagnes voort te zetten via andere platformen of configuraties.

Barracuda benadrukt daarnaast dat een verstoring van phishing-infrastructuur niet automatisch betekent dat alle risico’s zijn weggewerkt. Gestolen sessie-cookies kunnen geldig blijven, OAuth-misbruik kan toegang tot cloud-omgevingen behouden en organisaties kunnen ook na het verdwijnen van een campagne nog gecompromitteerd blijven.

Belangrijkste conclusie uit het onderzoek is dat het phishing-ecosysteem zich bijzonder snel aanpast. De val van een dominante speler zoals Tycoon 2FA leidt niet tot een structurele daling van het risico maar eerder tot een herverdeling van activiteit over andere spelers. Voor bedrijven betekent dat dat klassieke detectie op basis van individuele phishing kits onvoldoende wordt. Meer brede bescherming tegen identiteitsaanvallen, sessiemisbruik en cloud-misbruik wordt steeds belangrijker.

Meer info: 03/808.21.63 of http://www.barracuda.com

KOOPKANSEN – wie kan kopen naar aanleiding van dit nieuws

• Bedrijven en overheden met sterke afhankelijkheid van Microsoft 365, Google Workspace of andere cloud-omgevingen.
• KMO’s en middelgrote ondernemingen die hun e-mail-beveiliging, identity protection en MFA-beleid willen versterken.
• Organisaties in sectoren met verhoogd risico, zoals logistiek, industrie, financiële diensten, zorg en professionele dienstverlening.
• IT-verantwoordelijken die extra bescherming zoeken rond session hijacking, OAuth-misbruik en phishing-detectie.
• Besturen en grotere ondernemingen die hun SOC-, MDR- of managed security-capaciteit willen uitbreiden.

VERKOOPKANSEN – wie kan eraan verkopen

• Cybersecurity-leveranciers gespecialiseerd in e-mail security, anti-phishing en threat detection.
• Identity- en access management-spelers rond MFA, conditional access, privileged access en session controls.
• Managed service providers en MSSP’s die monitoring, incident response en security awareness aanbieden.
• Consultants in cloud security en zero trust-architectuur.
• Opleidingsbedrijven die security awareness-trainingen en phishing-simulaties aanbieden.
• Verzekeraars actief in cyber-verzekeringen.
• Juridische en compliance-adviseurs rond datalekken, incident-respons en governance.
• HR- en trainingspartners die security-cultuur en gebruikersweerbaarheid helpen verankeren in de organisatie.