Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

attacchi informatici

Neutralizzata Tycoon 2FA, il kit phishing che aggirava l’MFA e ha compromesso migliaia di account

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Questi attacchi informatici, che consentono il takeover completo degli account, possono avere conseguenze devastanti, tra cui attacchi ransomware o la perdita di dati sensibili. Ecco come è stata neutralizzata Tycoon 2FA

Pubblicato il 5 mar 2026
Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

L’infrastruttura di Tycoon 2FA, una delle piattaforme di phishing-as-a-service (PhaaS) più diffuse tra i criminali informatici e la minaccia adversary-in-the-middle (AiTM) con il più elevato volume di attività rilevata, è stata smantellata, grazie alla collaborazione tra partner pubblici e privati, tra cui spiccano Proofpoint, Microsoft, Europol.

“L’azione di oggi si concentra su un importante attore del crimine informatico, Tycoon 2FA, responsabile del più alto volume di campagne di credential phishing AiTM secondo i dati Proofpoint”, commenta Selena Larson, Staff Threat Researcher di Proofpoint.

Neutralizzata la minaccia Tycoon 2FA

La collaborazione tra partner pubblici e privati ha visto cooperare Proofpoint, Microsoft, Europol, Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel 471, Resecurity, The Shadowserver Foundation, SpyCloud e TrendAI, oltre ad altre forze dell’ordine europee, per neutralizzare Tycoon 2FA.

In particolare, Proofpoint ha offeryo un importante contributo nelle indagini delle forze dell’ordine e del settore privato sull’attività di Tycoon 2FA, sostenendo l’azione di Microsoft con dati che comprendono domini malevoli e informazioni sulle campagne Tycoon 2FA.

“Gli attacchi Tycoon hanno portato alla compromissione di decine di migliaia di account, e Proofpoint ha osservato come questi attacchi prendano di mira organizzazioni critiche in settori quali sanità, istruzione, pubblica amministrazione e difesa“, sottolinea Selena Larson.

L’azione di disruption contro Tycoon 2FA – e la causa legale che identifica il suo creatore – avranno un impatto significativo sulla piattaforma stessa, sulla relativa infrastruttura e sull’attività dei threat actor.

Le caratteristiche di Tycoon 2FA: le conseguenze del takeover degli account

Tycoon 2FA opera come un kit di phishing AiTM. La sua funzione principale è sottrarre username, password e cookie di sessione di Microsoft 365 e Gmail. Gli aggressori utilizzano questi cookie per aggirare i controlli di autenticazione a più fattori (MFA) nelle sessioni successive, ottenendo così il takeover completo dell’account (ATO) e accesso non autorizzato agli account, ai sistemi e ai servizi cloud dell’utente, inclusi quelli protetti dall’MFA come misura di sicurezza ulteriore.

“Secondo dati di Proofpoint, nel 2025 il 99% delle organizzazioni ha subito tentativi di account takeover, riusciti nel 67% dei casi. Tra questi, il 59% degli account compromessi aveva l’MFA attivo”, mette in guardia Selena Larson: “Sebbene non tutti questi attacchi siano riconducibili a Tycoon 2FA, i dati dimostrano l’impatto del phishing AiTM sulle aziende”.

Sebbene non tutte le campagne ATO che bypassano l’MFA siano attribuibili a Tycoon 2FA, quest’ultima resta la minaccia phishing AiTM con il più alto volume rilevato da Proofpoint.

I volumi variano in base all’attività dei criminali informatici: nel solo febbraio 2026, Proofpoint ha scoperto oltre tre milioni di messaggi riconducibili a Tycoon 2FA.

“Questi attacchi informatici, che consentono il takeover completo degli account, possono avere conseguenze devastanti, tra cui attacchi ransomware o la perdita di dati sensibili.

Mentre i criminali informatici continuano a prendere di mira le identità digitali, l’accesso agli account email aziendali rappresenta spesso il primo passo di una catena di attacchi dalle conseguenze distruttive. (…) Smantellare l’infrastruttura associata a Tycoon 2FA e identificare il presunto responsabile della creazione di questo prolifico strumento di hacking avrà un impatto significativo sul credential phishing che bypassa l’MFA e, si spera, infliggerà un duro colpo alphishing-as-a-service AiTM più prolifico al mondo”, conclude Selena Larson.

La disruption di Tycoon 2FA

In coordinamento con Europol, le forze dell’ordine di Lettonia, Lituania, Portogallo, Polonia, Spagna e Regno Unito hanno sequestrato l’infrastruttura ed altre misure operative. Microsoft e il co-ricorrente Health-ISAC hanno inoltre depositato una causa legale contro il presunto creatore di Tycoon 2FA, Saad Fridi, e alcuni associati non identificati.

L’azione di disruption e il procedimento civile, depositato presso il Southern District of New York, avranno un effetto rilevante sulle operazioni di Tycoon 2FA e sull’attività complessiva della minaccia.

Proofpoint ha offerto supporo all’azione di Microsoft fornendo dati sulle minacce tratti dalla propria visibilità, inclusi domini malevoli e informazioni sulle campagne Tycoon 2FA, e ha depositato una dichiarazione a supporto della causa.

Il 4 marzo 2026, Microsoft ha annunciato la causa legale e l’azione di disruption contro il creatore di Tycoon 2FA e diversi associati non identificati. Proofpoint sostiene il procedimento civile fornendo una dichiarazione sull’attività di Tycoon, con dettagli sull’infrastruttura e sulle campagne. Microsoft ha posto sotto sequestro 330 domini del pannello di controllo associati a Tycoon 2FA. Azione che avrà un impatto sulle operazioni, interrompendo l’attività criminale in corso.

I takeover di account di successo possono causare danni ingenti alle organizzazioni colpite, tra cui perdite finanziarie e reputazionali, sottrazione di dati proprietari e potenziali attacchi successivi come il ransomware, con conseguenze distruttive per l’intera organizzazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Deepfake dal ricatto individuale al cyber spionaggio; Deepfake: il nuovo punto vulnerabile delle aziende è umano

  • cyber attacchi

    Deepfake: il nuovo punto vulnerabile delle aziende è umano

    20 Nov 2025

    di Ben Jacob

    Condividi
  • Come attivare l'autenticazione a 2 fattori e come l'2FA protegge gli account

  • la guida

    Brute force: cosa sono e come come proteggere le password

    13 Apr 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Come scegliere tra vpn Free o Vpn a pagamento? leggi nell'articolo la risposta

  • LA GUIDA

    VPN Free o VPN a pagamento: quale scegliere

    20 Giu 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Sextortion la GUIDA COMPLETA; Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

  • DSA e social

    Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

    23 Dic 2025

    di Tania Orrù

    Condividi
0
Lascia un commento, la tua opinione conta.x