Die Gesamtzahl der Angriffe, die auf diese vier Phishing-Baukästen zurückgreifen, ist nach der Störung gestiegen – von rund 20 Millionen auf über 23 Millionen. Tycoon 2FA ist dabei jedoch nicht mehr der Anführer, der es vor der Strafverfolgungsaktion war. Nach den Erkennungsdaten von Barracuda liegt der Dienst nun deutlich hinter Mamba 2FA und EvilProxy.

Tycoon 2FA habe den Schlag verkraftet, das zugrunde liegende Ökosystem überlebt, erklärt Barracuda. Andere Phishing-Baukästen hätten ihre Infrastruktur ausgebaut und ihr Angebot um Werkzeuge erweitert, die zuvor von dem gestörten Dienst genutzt wurden.

„Tycoon 2FA wurde von einer Vielzahl unabhängiger Partner verwendet. Das bedeutet, dass von einzelnen Angreifern geklonte oder veränderte Varianten des Angriffscodes weiter in Umlauf sind", schreibt Barracuda. Ebenso blieben unabhängig gehostete Installationen aktiv, und fragmentierte Kampagnen mit geringem Volumen bestünden fort.

Phishing-as-a-Service-Werkzeuge ähnelten zunehmend quelloffener Software, bei der Angreifer den Code wiederverwenden, anpassen und erneut ausspielen. In Kombination mit verbleibender Infrastruktur, eingebauter Redundanz zum Überstehen von Störungen und fortdauerndem Zugriff auf kompromittierte Umgebungen mache dies Phishing-Baukästen widerstandsfähiger und schwerer zu erkennen und zu bekämpfen.

Diese Spuren spiegelten laut Barracuda eine Diversifizierung des Ökosystems wider: Tycoon 2FA werde über mehr Plattformen verteilt, statt wiederhergestellt zu werden.

„Das bedeutet nicht, dass die Abschaltaktion gescheitert ist. Vielmehr zeigt es, was passiert, wenn eine Störung auf eine reifende kriminelle Wirtschaft trifft – und warum sich die Sicherheitsabwehr breiter aufstellen muss als nur auf einzelne Akteure", so Barracuda.