research report Eine von der Cybersicherheitsfirma CYFIRMA sagt, dass die Messaging-Plattform Telegram zu einer zentralen operativen Umgebung für eine Vielzahl von cyberkriminellen Aktivitäten geworden ist. Laut der Analyse nutzen Bedrohungsakteure zunehmend Telegram-Kanäle, Gruppen und automatisierte Bots, um Angriffe zu koordinieren, Werkzeuge zu verteilen und illegale Dienste im Cyberkriminalitäts-Ökosystem zu fördern.
Forscher beschreiben den Wandel als eine strukturelle Veränderung darin, wie sich cyberkriminelle Gemeinschaften online organisieren. Historisch gesehen fanden viele illegale Aktivitäten in Darknet-Foren statt, die auf Tor-Netzwerken gehostet wurden. Diese Plattformen benötigten technische Expertise, um darauf zuzugreifen, und setzten auf Reputationssysteme und Treuhandmechanismen für Transaktionen. Der Bericht von CYFIRMA besagt, dass Telegram nun ähnliche Funktionen anbietet, gleichzeitig Markteintrittsbarrieren reduziert und eine schnellere Koordination zwischen den Akteuren ermöglicht.
Die Architektur von Telegram ermöglicht es Nutzern, öffentliche Kanäle, private Gruppen und automatisierte Bots zu erstellen, die Dateien verteilen, Nachrichten an ein großes Publikum veröffentlichen und Transaktionen verarbeiten können. Cyberkriminelle Gruppen nutzen diese Funktionen, um Operationen in Echtzeit zu koordinieren und die Kommunikation aufrechtzuerhalten, selbst wenn einzelne Kanäle entfernt oder unterbrochen werden. Da neue Kanäle schnell erstellt und über Einladungslinks geteilt werden können, können Gruppen ihre Netzwerke nach Entfernungen oder Störungen schnell wieder aufbauen.
Der CYFIRMA-Bericht identifiziert mehrere Kategorien von Bedrohungsakteuren, die die Plattform nutzen. Ransomware-Betreiber unterhalten Kanäle, in denen sie Opfer auflisten, gestohlene Datenproben veröffentlichen und Zahlungsfristen bekannt geben. Diese Kanäle zeigen oft Kompromissnachweise, um gezielte Organisationen während Erpressungsverhandlungen unter Druck zu setzen. Einige Gruppen nutzen Telegram auch, um Partner zu rekrutieren und Umsatzbeteiligungsmodelle für Ransomware-Kampagnen zu bewerben.
Erstzugangsvermittler, ein weiterer wichtiger Bestandteil des Cyberkriminalitäts-Ökosystems, nutzen ebenfalls Telegram-Kanäle, um kompromittierte Netzwerke und Zugangsdaten zu bewerben. Listings enthalten häufig Details zur Zielorganisation, wie z. B. Branchensektor, Einnahmengröße, geografischer Lage und Zugangsrechte innerhalb des Netzwerks. Käufer können diese Angebote prüfen, bevor sie Zugang erwerben, der später für Ransomware- oder Datendiebstahl genutzt werden könnte.
Malware-Entwickler und -betreiber nutzen die Plattform ebenfalls, um Werkzeuge und Dienste zu verbreiten. Kanäle können informationsdiebstahlende Malware, Verschlüsseler, Phishing-Kits oder Loader-Frameworks über abonnementbasierte Modelle fördern. In vielen Fällen übernehmen automatisierte Bots die Kundeninteraktion, die Zahlungsabwicklung und die Auslieferung der Malware-Builds. Diese Dienste funktionieren ähnlich wie legitime Softwareverteilungssysteme, arbeiten jedoch innerhalb unterirdischer Gemeinschaften.
Telegram wird auch genutzt, um gestohlene Daten und Informationen über Sicherheitsverletzungen zu verbreiten. Datenleckkanäle veröffentlichen oft Muster von Datenbanken oder Credential-Dumps, um die Authentizität zu belegen, bevor der gesamte Datensatz freigegeben oder verkauft wird. Die Weiterleitungs- und Weitergabefunktionen der Plattform ermöglichen es, diese Informationen schnell über mehrere Kanäle zu verbreiten, was die Sichtbarkeit von Sicherheitsverletzungen erhöht und die Eindämmungsmaßnahmen erschwert.
Forscher sagen, dass die Zugänglichkeit und die Echtzeit-Kommunikationsfunktionen der Plattform zu ihrer Verbreitung durch Cyberkriminelle Gruppen beigetragen haben. Im Gegensatz zu traditionellen Darknet-Foren, die spezielle Zugriffstools benötigen, kann Telegram über Standard-Mobil- oder Desktop-Anwendungen genutzt werden, was technische Hürden für Teilnehmer, die in die Untergrundwirtschaft einsteigen, senkt.
Der Bericht kommt zu dem Schluss, dass Telegram nun als zentrale operative Ebene für moderne Cyberkriminalitätsaktivitäten dient. Durch die Kombination von Kommunikations-, Vertriebs-, Rekrutierungs- und Marketingfunktionen in einer Umgebung ermöglicht die Plattform Bedrohungsakteuren, ihre Operationen effizienter zu koordinieren und ihre Aktivitäten über ein globales Netzwerk zu skalieren.