Die Strafverfolgungsaktion war Teil eines internationalen Einsatzes, an dem Behörden aus sechs Ländern und ein Dutzend privater Unternehmen beteiligt waren. Nach Einschätzung von CrowdStrike hat sie den Betrieb von Tycoon 2FA jedoch nur geringfügig beeinträchtigt.
Am 4. und 5. März, unmittelbar nach dem Einsatz, fiel das Aktivitätsvolumen von Tycoon 2FA zunächst auf rund 25 Prozent, kehrte aber kurz darauf wieder auf das vorherige Niveau zurück. Die täglichen aktiven Bereinigungen kompromittierter Cloud-Umgebungen erreichten laut CrowdStrike erneut die Werte von Anfang 2026.
“Darüber hinaus haben sich die Taktiken, Techniken und Vorgehensweisen von Tycoon 2FA nach der Beschlagnahmung nicht verändert, was darauf hindeutet, dass der Betrieb des Dienstes über diese Störung hinaus fortbestehen könnte”, merkt das Unternehmen an.
Zu diesen Vorgehensweisen zählen Phishing-E-Mails, die auf schädliche CAPTCHA-Seiten leiten, der Diebstahl von Sitzungs-Cookies nach der CAPTCHA-Validierung, der Einsatz von JavaScript-Dateien zum Auslesen von E-Mail-Adressen, das Weiterleiten von Zugangsdaten über schädliche JavaScript-Dateien sowie die Nutzung gestohlener Anmeldedaten für den Zugriff auf die Cloud-Umgebungen der Opfer.
Im März wurde Tycoon 2FA nach Angaben von CrowdStrike für Phishing im Rahmen von Business E-Mail Compromise (BEC), das Kapern bestehender E-Mail-Verläufe, die Kompromittierung von SharePoint und Cloud-Diensten zur Verbreitung von Phishing-URLs sowie für die Übernahme von Cloud-Konten eingesetzt.
CrowdStrike beobachtete fehlgeschlagene Tycoon-2FA-Angriffe, nachdem die Phishing-Seiten abgeschaltet worden waren, identifizierte acht IP-Adressen, die mutmaßlich nach der Aktion beschafft wurden, und stieß auf seit 2025 genutzte Phishing-Domains, die von der Strafverfolgungsaktion nicht erfasst worden waren.
Während Tycoon 2FA sich vermutlich noch am selben Tag zu erholen begann, an dem Europol und Microsoft die Maßnahme verkündeten, waren Domains des Phishing-Kits Salty 2FA offenbar von der Störung betroffen.
Die Bemühungen von Europol und privaten Partnern dürften sich nach Einschätzung von CrowdStrike insgesamt positiv auf die Cyberkriminalitätslandschaft auswirken, wenn auch nur vorübergehend. Die Störung habe aktuelle Kunden des Dienstes durch die Behinderung ihrer Phishing-Operationen zurückgeworfen und dem langfristigen Ruf des PhaaS-Anbieters in der Szene geschadet.
