Europol, en colaboración con Microsoft, Trend Micro, Proofpoint y otros socios, ha desmantelado una de las mayores plataformas de phishing como servicio (PhaaS). La plataforma, denominada Tycoon 2FA, facilitaba a los ciberdelincuentes eludir la autenticación multifactor (MFA) y tomar el control de cuentas. Paralelamente, Europol también ha desactivado el foro Leakbase.
(Source: Scott Rodgerson sur Unsplash)
(Source: Scott Rodgerson sur Unsplash)
El Centro Europeo de Lucha contra la Ciberdelincuencia (EC3) de Europol ha desmantelado la plataforma Tycoon 2FA. La operación ha sido posible gracias a una colaboración internacional, con la participación técnica de empresas como Microsoft, Trend Micro y Proofpoint, y la incautación de la infraestructura del servicio en seis países europeos, según ha informado Europol.
La organización indica que Tycoon 2FA estuvo activo desde al menos agosto de 2023. El servicio operaba a través de más de 330 dominios y permitía a los ciberdelincuentes robar credenciales de acceso a cuentas de correo electrónico y en la nube, sorteando la autenticación multifactor (MFA). Se estima que la plataforma generaba millones de correos electrónicos de phishing cada mes, dirigidos a cerca de 100.000 organizaciones en todo el mundo, incluyendo escuelas y hospitales.
La magnitud de la amenaza se evidencia en los datos proporcionados por Microsoft: en determinados momentos, alrededor del 62% de todos los intentos de phishing bloqueados por el grupo se atribuían a Tycoon 2FA. Esto representó más de 30 millones de correos electrónicos en un solo mes. Los atacantes se centraron en más de 55.000 cuentas de Microsoft, así como en cuentas de Outlook y Gmail, según detalla la empresa en una entrada de su blog.
Tycoon 2FA ofrecía plantillas de phishing convincentes, páginas de destino realistas y la interceptación en tiempo real de credenciales y códigos de autenticación, permitiendo que los ataques se llevaran a cabo sin conocimientos técnicos profundos. Una vez obtenido el acceso, los atacantes a menudo se comportan como usuarios legítimos, se mueven lateralmente dentro de los sistemas y acceden a datos confidenciales sin activar alertas, según Microsoft.
“No estamos hablando de simples campañas de phishing. Era un servicio industrializado que hacía que eludir la MFA fuera accesible a miles de delincuentes”, explica Robert McArdle, Director de Investigación en Ciberdelincuencia de TrendAI (Trend Micro), en un comunicado. Advierte: “La identidad es hoy en día la principal superficie de ataque. Cuando el secuestro de sesión se ofrece como una suscripción, el riesgo pasa de casos aislados a una amenaza sistémica”.
Un mercado para ciberdelincuentes también desactivado
Europol también ha desmantelado el foro en línea Leakbase. Según la agencia, esta plataforma se había establecido desde 2021 como un centro clave para el comercio de datos comprometidos. En este foro, que contaba con más de 142.000 usuarios registrados, los ciberdelincuentes podían comprar, vender e intercambiar datos robados. Las autoridades de 13 países participaron en esta operación.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
