Zurück zur Startseite

2FA schützt 85 % der X-Konten vor Botnets

Experten analysierten ein Botnet, das X-Konten mit der Credential-Stuffing-Methode angriff. Zwei-Faktor-Authentifizierung blockierte 85,6 % der Versuche. Das Material enthüllt Mechanik, Statistiken und Schutzempfehlungen.

Botnet scheiterte bei 85 % der Angriffe auf X wegen 2FA: Aufschlüsselung
Advertisement 728x90

Zwei-Faktor-Authentifizierung blockt 85 % der X-Konto-Angriffe: Analyse aus der Praxis

Sicherheitsforscher beobachteten eine aktive Botnetz-Aktion, die darauf abzielte, Zugangsdaten für Plattform X zu stehlen. Innerhalb von nur 12 Minuten testete das System über 720.000 Anmeldekombinationen – doch dank der Zwei-Faktor-Authentifizierung (2FA) blieben 85,6 % der Konten geschützt.

Umfang und Funktionsweise des Angriffs

Das Botnetz nutzte Credential Stuffing – eine Methode, bei der automatisiert gestohlene Benutzernamen und Passwörter aus früheren Datenpannen eingesetzt werden. Insgesamt versuchte es 4,8 Millionen Anmeldungen und konnte dabei 138 Konten kompromittieren. Die Infrastruktur erstreckte sich über 18 Server in einem Subnetz des türkischen Anbieters Komuta Savunma Yuksek Teknoloji Limited Sirketi in Ankara. Das Befehls- und Kontrollpanel, das auf einem Hetzner-Server (144.76.57.92:5000) gehostet wurde, war öffentlich zugänglich und nicht authentifiziert – was eine Echtzeitbeobachtung ermöglichte.

Wichtige Funktionen des Kontrollpanels:

Google AdInline article slot
  • Hochladen von Zugangsdatenbanken;
  • Start/Stop von Scanvorgängen;
  • Anzeige von Statistiken zu erfolgreichen Datenklau;
  • Export kompromittierter Konten;
  • Zugriff auf Root-Passwörter aller 18 Server per SSH.

Die Kampagne lief wellenförmig von Dezember 2025 bis Januar 2026 und erreichte am 24. Februar 2026 ihren Höhepunkt. Zudem waren auf dem Hauptserver RDP-, SMB- und WinRM-Ports freigegeben – gängige Einfallstore für laterale Bewegungen im Netzwerk.

Effektivität von 2FA in Zahlen

Was war die wichtigste Schutzmaßnahme? Die Zwei-Faktor-Authentifizierung. Das Botnetz konnte lediglich Konten übernehmen, die keine 2FA aktiviert hatten, und übersprang automatisch gesicherte Accounts. Dies steht im Einklang mit breiteren Studien: korrekt implementierte 2FA senkt das Risiko durch Credential Stuffing um bis zu 99 %.

Warum dieser Angriff erfolgreich war:

Google AdInline article slot
  • Enorme Verfügbarkeit von geleakten Daten (Milliarden von Zugangsdaten auf Darknet-Märkten);
  • Häufige Wiederverwendung von Passwörtern durch Nutzer;
  • 14,4 % der angegriffenen Konten hatten keine 2FA aktiviert.

Bedrohungslandschaft und Infrastruktur

Credential Stuffing entwickelt sich kontinuierlich weiter – parallel zum Anstieg an Datenpannen. Laut dem Verizon DBIR 2025 sind 80 % aller Sicherheitsvorfälle auf kompromittierte oder schwache Zugangsdaten zurückzuführen. Hinweise wie die Sprache der Oberfläche und Servernamen wie „Sunucu“ deuten auf regionale Angreifer in der Türkei hin – viele davon bevorzugen Hetzner wegen der anonymen Registrierungsmöglichkeiten.

In VirusTotal, ThreatFox oder AbuseIPDB fanden sich keine vorherigen Indikatoren, was zeigt, wie Angreifer heute „saubere“ Infrastrukturen einsetzen, um Erkennungssysteme zu umgehen. Für die Branche bedeutet dies: Plattformen wie X verbessern ihr automatisiertes Monitoring – doch letztlich bleibt die Verantwortung auch beim Nutzer.

Wichtigste Erkenntnisse

  • 85,6 % der Angriffe wurden durch 2FA verhindert – ein klarer Beleg für deren Rolle als grundlegende Schutzmaßnahme;
  • Von 4,8 Millionen Versuchen konnten 138 Konten kompromittiert werden, da keine Mehrfachauthentifizierung aktiv war;
  • Ein offengelegtes Admin-Panel gab Root-Zugriff auf 18 Server frei und gefährdete das gesamte Netzwerk;
  • Aktivitäten seit Dezember 2025 zeigen den wachsenden Trend von Credential-Stuffing-Angriffen;
  • Nutzer von X sollten sofort 2FA aktivieren, um ihre Angriffsfläche deutlich zu reduzieren.

Folgerungen und Empfehlungen

Dieser Vorfall macht die Anfälligkeit von Konten ohne 2FA deutlich – Angreifer zielen stets auf leicht erreichbare Ziele ab. Branchenweit steigt die Investition in MFA (Mehrfach-Authentifizierung). Kompromittierte Konten werden oft für Phishing-Kampagnen genutzt oder in Untergrundforen verkauft.

Google AdInline article slot

Experten empfehlen:

  • Aktivieren Sie 2FA, wo immer möglich (Apps wie Google Authenticator; SMS als Notlösung);
  • Nutzen Sie starke, einzigartige Passwörter, verwaltet über Tools wie Bitwarden oder LastPass;
  • Prüfen Sie Ihre persönliche Betroffenheit über Have I Been Pwned.

Reale Fälle wie dieser beschleunigen die Akzeptanz von 2FA: Google berichtet, dass die globale Nutzung bis 2025 bereits 70 % erreichte.

— Editorial Team

Advertisement 728x90

Weiterlesen