Масштабная операция по ликвидации инфраструктуры платформы Tycoon2FA, анонсированная Europol 4 марта 2026 года, стала ярким примером сложной и зачастую временной природы борьбы с современными киберпреступными сервисами. Несмотря на скоординированные усилия правоохранительных органов шести стран и партнёров из индустрии, которые привели к изъятию 330 доменов, активность злоумышленников, использующих этот инструмент, восстановилась в считанные дни. Этот инцидент демонстрирует ключевую проблему: техническое выведение из строя инфраструктуры, без параллельных арестов организаторов, редко приводит к долгосрочному результату, но остаётся важным инструментом повышения стоимости операций для преступников.
Описание
Tycoon2FA представлял собой классический пример сервиса фишинга как услуги (PhaaS), который значительно снижал порог входа для киберпреступников. Его основная опасность заключалась в специализации на обходе многофакторной аутентификации (MFA) - одного из краеугольных камней современной защиты. Платформа, работавшая с 2023 года, использовала технику "злоумышленник в середине" (AITM), перехватывая живые сессии аутентификации жертв. В середине 2025 года, согласно данным, именно Tycoon2FA стоял за 62% всех фишинговых атак, блокируемых Microsoft, генерируя десятки миллионов вредоносных писем ежемесячно. Координированная операция под руководством Европола была направлена на разрушение ключевого узла этой экосистемы.
Специалисты CrowdStrike, анализируя последствия операции, отметили краткосрочное снижение активности кампаний Tycoon2FA сразу после 4 марта. Однако уже в последующие дни объём компрометации облачных учётных записей вернулся к докризисным уровням. Более того, тактика, техники и процедуры (TTP) угрозы не претерпели изменений, что указывает на высокую живучесть сервиса. Аналитики продолжают фиксировать разнообразные фишинговые техники, связанные с Tycoon2FA, включая компрометацию деловой переписки (BEC), захват почтовых тредов и использование скомпрометированной инфраструктуры SharePoint для распространения ссылок.
Технический анализ показывает, как именно работает восстановление. Злоумышленники продолжили регистрировать новые домены и развёртывать на них фишинговые страницы, часто созданные с помощью генеративного ИИ для убедительности. Автоматизированные логины в аккаунты жертв после перехвата данных стали осуществляться с новых IPv6-адресов, арендованных у провайдера M247 Europe SRL в Румынии. При этом часть инфраструктуры, включая один из IP-адресов, используемый с января 2026 года, пережила операцию по ликвидации. Интересно, что наиболее пострадавшими оказались домены, связанные с другим фишинговым набором Salty2FA и размещённые на инфраструктуре Cloudflare, что говорит о целенаправленных действиях этого провайдера после вмешательства правоохранителей.
Этот случай наглядно иллюстрирует эволюцию киберпреступности. Такие сервисы, как Tycoon2FA, демонстрируют высокую адаптивность, техническую оснащённость и устойчивость. Они быстро восстанавливаются после ударов, используя резервную инфраструктуру, безопасные юрисдикции и постоянно развивающиеся TTP. Даже временные disruption-операции, однако, имеют ценность: они нарушают текущие операции клиентов сервиса, наносят ущерб репутации поставщика в преступной среде и вынуждают злоумышленников тратить время и ресурсы на восстановление.
Для организаций-защитников история с Tycoon2FA служит жёстким напоминанием. Угрозы, нацеленные на обход MFA, остаются критически актуальными. Захват сессионных cookies после успешной аутентификации пользователя делает даже самые строгие методы проверки уязвимыми. Противодействие требует комплексного подхода, выходящего за рамки просто включения двухфакторной аутентификации. Необходим непрерывный мониторинг всей поверхности атаки, включая облачные среды, корреляция сигналов в реальном времени для выявления аномальных действий (например, создания подозрительных правил в почтовом ящике или логинов с необычных географических локаций) и готовность экспертов к оперативному реагированию. Борьба с адаптивными противниками - это не разовая акция, а непрерывный процесс, где даже временные успехи в срыве их планов являются важной частью общей стратегии обороны.
Индикаторы компрометации
IPv6
- 2a0d:5600:8:2e:0:1:1d6e:ff40
- 2a0d:5600:8:2e:0:1:25dd:3b4a
- 2a0d:5600:8:2e:0:1:3f55:3b5c
- 2a0d:5600:8:2e:0:1:62fe:e6b9
- 2a0d:5600:8:2e:0:1:65f4:6a3c
- 2a0d:5600:8:2e:0:1:7d4:e433
- 2a0d:5600:8:2e:0:1:d823:a25a
- 2a0d:5600:8:94::440:e534
- 2a0d:5600:8:94::d439:3ac9
- 2a0d:5600:8:94::f2cd:9d43
Domains
- 811inboard.aeroprimelink.za.com
- annotation.hanoufra.ltd
- awssecrets.saidiosea.dev
- electron.c8zoeh.com
- hub.thadrodrai.business
- omegaenergy.com.np
- pass.aeroprimelink.za.com
- pub-9ee1bf400ea645748830bc408aa2b88a.r2.dev
- traelyst.dk
- twig.lifeworkinc.com
