Microsoft ha annunciato di aver messo fine a Tycoon 2FA, un pericoloso tool utilizzato da cybercriminali per il phishing.

26 MARZO 2026 | Nonostante la dismissione ad inizio mese, secondo il report dei ricercatori di sicurezza Tycoon 2FA sarebbe già ritornato attivo ai livelli precedenti allo smantellamento dei domini intrapreso da Microsoft e Europol. Il tool di phishing rimane quindi una pericolosa minaccia anche gli utenti italiani.

Dalla data di smantellamento di Tycoon2FA , il team CrowdStrike Falcon Complete Next-Gen MDR e il team CrowdStrike Counter Adversary Operations hanno osservato una diminuzione a breve termine del volume di attività della campagna Tycoon2FA ; tuttavia, il volume delle compromissioni cloud è successivamente aumentato fino ai livelli precedentemente osservati da Falcon Complete. Questa ripresa del volume della campagna, unita alla persistenza delle tattiche, tecniche e procedure (TTP) di Tycoon2FA precedentemente osservate , suggerisce che gli attori responsabili del PhaaS probabilmente rimarranno attivi nel panorama delle minacce nel breve e medio termine e richiedono una continua vigilanza da parte dei difensori. 

Tycoon 2FA ha fatto 800 vittime in Italia

Microsoft ha intrapreso azioni per interrompere le attività di Tycoon 2FA, un servizio utilizzato da cybercriminali utilizzato per il furto di dati sensibili e credenziali degli account tramite tecniche di phishing avanzate. Microsoft ha identificato e sequestrato centinaia di domini che servivano da infrastruttura interrompendo le operazioni definitivamente. Tycook 2FA è stato utilizzato per rubare migliaia di nomi utente e password anche in Italia.

Oggi Microsoft, Europol e partner del settore hanno smantellato Tycoon 2FA, uno dei servizi cybercriminali più utilizzati per frodi basate sul furto di identità su larga scala.

Nell’ambito dell’operazione, Microsoft ha sequestrato oltre 300 domini che alimentavano l’infrastruttura principale di Tycoon 2FA. Attivo almeno dal 2023, Tycoon 2FA ha consentito a migliaia di cybercriminali di compromettere account email e servizi online ed è stato collegato a oltre 96.000 vittime di phishing a livello globale, tra cui più di 55.000 clienti Microsoft.

In Italia, Tycoon 2FA ha causato circa 800 vittime, classificando il Paese al 9° posto tra i più colpiti in Europa. Il servizio è stato utilizzato per colpire soprattutto aziende, scuole, ospedali e istituzioni pubbliche.

Non si è trattato di una tradizionale operazione di phishing. Tycoon 2FA operava come un servizio industrializzato progettato per intercettare in tempo reale sessioni di autenticazione attive, acquisendo codici monouso e cookie di sessione e consentendo ai criminali di accedere ad account cloud aziendali anche in presenza di autenticazione a più fattori.

L’operazione rappresenta un esempio concreto di collaborazione pubblico-privato, condotta in coordinamento con Europol e una coalizione di partner del settore tra cui Cloudflare, Coinbase, Proofpoint, Intel471, TrendAI, the Shadowserver Foundation, Resecurity, eSentire e Health-ISAC. L’ampiezza della cooperazione riflette la natura trasversale e multipiattaforma della minaccia.

Cosa ne pensate della faccenda? Scrivete la vostra opinione nei commenti.

Articolo di Windows Blog Italia
Fonte | Microsoft