Längere Lebensdauer von Untergrund-Kanälen auf Telegram trifft auf deutlich höhere Sperrquoten
Eine Analyse von Kaspersky Digital Footprint Intelligence [1] zu mehr als 800 zwischen 2021 und 2024 gesperrten Cyberuntergrund-Kanälen auf Telegram zeigt, dass illegale Aktivitäten auf der Plattform für Cyberkriminelle immer schwieriger werden. Der Anteil der Kanäle, die länger als neun Monate aktiv bleiben, hat sich 2023/2024 im Vergleich zu 2021/2022 zwar mehr als verdreifacht, gleichzeitig liegen die seit Oktober 2024 verzeichneten monatlichen Sperrzahlen jedoch durchweg auf dem Niveau früherer Höchststände aus 2023 und steigen rasant im Jahr 2025 weiter. Entsprechend verlagern Cyberkriminelle ihre Aktivitäten hin zu anderen Plattformen, da Telegram ihnen nicht länger die infrastrukturellen Vorteile bietet wie in der Vergangenheit.
Moderne Messenger wie WhatsApp, Telegram oder Signal werden von legitimen Nutzern und Cyberkriminellen gleichermaßen genutzt. Dabei bietet gerade Telegram mit seiner Bot-Infrastruktur und anderen eingebauten Funktionen eine weitgehend automatisierte Schattenökonomie, die von Cyberkriminellen genutzt wird. So kann beispielsweise ein einzelner Bot Kundenanfragen und Kryptowährungszahlungen automatisiert abwickeln und dabei gestohlene Daten oder Malware-Dienste an viele Käufer pro Tag ausliefern. In Kombination mit dem unbegrenzten Dateispeicher für große Leaks macht das Telegram vor allem für standardisierte Massenangebote attraktiv, während komplexere, vertrauensabhängige Geschäfte weiterhin überwiegend in reputationsbasierten Foren im Darknet stattfinden.
Allerdings zeigt die aktuelle Kaspersky-Analyse, dass dieses Modell der Telegram-Nutzung zunehmend unter Druck gerät und für viele Untergrund-Akteure nicht mehr die notwendige Planungssicherheit bietet.
So haben bereits mehrere etablierte Untergrund-Communitys damit begonnen, ihre Aktivitäten zu verlagern. Dazu gehören unter anderem die Gruppe BFRepo mit nahezu 9.000 Mitgliedern sowie die Malware-as-a-Service-Operation Angel Drainer – mit dem ausdrücklichen Verweis auf wiederholte Störungen ihrer Aktivitäten auf Telegram. Weiterhin klagen Cyberkriminelle über:
- das Fehlen einer durchgängig aktivierten Ende-zu-Ende-Verschlüsselung für Standardchats,
- die zentralisierte Infrastruktur, die ihnen keine eigene Kontrolle über die für die Kommunikation genutzten Server erlaubt, sowie
- den geschlossenen serverseitigen Code, dessen Funktionsweise sich nicht unabhängig prüfen lässt.
Telegram greift stärker durch
Allerdings sind das nicht die einzigen Gründe, warum sich Cyberkriminelle zunehmend von der Nutzung von Telegram verabschieden. Hauptgrund dürfte wohl das Vorgehen von Telegram gegen illegale Aktivitäten sein. Denn so zeigt die aktuelle Kaspersky-Analyse zwar, dass die durchschnittliche Lebensdauer von Untergrund-Kanälen gestiegen ist: Der Anteil der Kanäle, die länger als neun Monate aktiv bleiben, hat sich in den Jahren 2023 und 2024 im Vergleich zu 2021 und 2022 mehr als verdreifacht. Allerdings hat Telegram seit Oktober 2024 seine Aktivitäten zur Blockierung solcher Kanäle deutlich verstärkt. Die monatlichen Sperrzahlen entsprechen heute den früheren Höchstständen aus dem Jahr 2023 oder übertreffen diese sogar – und diese Entwicklung hat sich 2025 fortgesetzt. In der Kombination erschwert dies schädliche Aktivitäten, weil sie sich über längere Zeiträume hinweg schlechter aufrechterhalten lassen.
„Für viele Cyberkriminelle ist Telegram ein bequemes Tool für diverse schädliche Machenschaften, aber das Verhältnis von Risiko und Ertrag verschiebt sich“, erklärt Vladislav Belousov, Digital Footprint Analyst bei Kaspersky. „Kanäle bleiben heute zwar oft länger online als noch vor einigen Jahren, doch die deutlich aggressivere Blockierung macht es schwer, cyberkriminelle Aktivitäten zu planen. Wenn ein Storefront-Kanal oder ein schädlicher Service ohne Vorwarnung verschwindet und kurz nach seinem Wiederauftauchen erneut blockiert wird, lässt sich darauf nur schwer ein verlässliches Geschäft aufbauen. Die beobachtbare Tendenz, dass Untergrund-Communitys nach Alternativen suchen, ist eine direkte Reaktion auf diesen Druck.“
Kaspersky-Empfehlungen für mehr Sicherheit in Messengern
- Illegale Kanäle und Bots melden, um Community-basierte Moderationsmechanismen zu beschleunigen.
- Mehrere Quellen für Threat-Intelligence-Informationen nutzen [1] – mit Abdeckung von Surface, Deep und Dark Web –, um frühzeitig über neue Untergrundaktivitäten informiert zu werden und die tatsächlich eingesetzten Taktiken, Techniken und Vorgehensweisen (TTPs) von Angreifern im Blick zu behalten.
Weitere Informationen sind verfügbar unter https://dfi.kaspersky.com/de
[1] https://dfi.kaspersky.com/de
Nützliche Links:
- Kaspersky Digital Footprint Intelligence: https://dfi.kaspersky.com/de
