Europol frappe deux services majeurs de cybercriminalité
Europol a démantelé, avec l’aide de Microsoft, Trend Micro, Proofpoint et d’autres partenaires, l’une des plus grandes plateformes de phishing-as-a-service. La plateforme Tycoon 2FA aidait des cybercriminels à contourner l’authentification multifacteur (MFA) et à prendre le contrôle de comptes. Parallèlement, Europol a également mis hors service le forum Leakbase.
Le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol a démantelé la plateforme de phishing-as-a-service Tycoon 2FA. L’opération a été rendue possible grâce à une collaboration internationale. Tandis que des entreprises tech telles que Microsoft, Trend Micro et Proofpoint ont apporté leur expertise technique, les autorités de plusieurs pays européens ont saisi l’infrastructure du service dans six pays, indique Europol.
Selon l’organisation, Tycoon 2FA était actif depuis au moins août 2023. Le service reposait sur plus de 330 domaines et permettait à des cybercriminels de voler des identifiants d’accès à des comptes e-mail et cloud en contournant l’authentification multifacteur (MFA). La plateforme aurait généré chaque mois des millions d’e-mails de phishing visant près de 100’000 organisations dans le monde, dont des écoles et des hôpitaux.
L'ampleur de la menace est illustrée par les chiffres de Microsoft: à certains moments, environ 62 % de toutes les tentatives de phishing bloquées par le groupe étaient imputables à Tycoon 2FA. Sur un seul mois, cela représentait plus de 30 millions d’e-mails. Les attaquants ont ciblé plus de 55’000 comptes Microsoft, mais aussi des comptes Outlook et Gmail, précise l’entreprise dans un billet de blog.
Tycoon 2FA proposait des modèles de phishing convaincants, des landing pages réalistes ainsi que l’interception en temps réel des identifiants et des codes d’authentification. Les attaques pouvaient ainsi être menées sans connaissances techniques approfondies. Selon Microsoft, une fois l’accès obtenu, les attaquants se comportent souvent comme des utilisateurs légitimes, procèdent à des déplacements latéraux dans les systèmes et accèdent à des données sensibles sans déclencher d’alerte.
«On ne parle pas de simples campagnes de phishing. C’était un service industrialisé qui rendait le contournement de la MFA accessible à des milliers de criminels», explique Robert McArdle, Director of Cybercrime Research chez TrendAI (Trend Micro), dans un communiqué. Il avertit: «L’identité est aujourd’hui la principale surface d’attaque. Lorsque le détournement de session est proposé sous forme d’abonnement, le risque passe de cas isolés à une menace systémique.»
Une place de marché pour cybercriminels également mis hors ligne
Europol a également démantelé le forum en ligne Leakbase. Selon l’agence, cette plateforme s’était imposée depuis 2021 comme une place centrale pour le commerce de données compromises. Sur ce forum, qui comptait plus de 142’000 utilisateurs enregistrés, les cybercriminels pouvaient acheter, vendre et échanger des données volées. Les autorités de 13 pays ont participé à cette opération.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
