Włamanie do LastPass w 2022 roku prowadzi do kradzieży kryptowalut w 2025 roku

Według nowych ustaleń firmy TRM Labs, skradzione z szyfrowanych kopii zapasowych LastPass z 2022 roku umożliwiły przestępcom wykorzystanie słabych haseł głównych do ich złamania oraz kradzieży aktywów kryptowalutowych, które miały miejsce nawet na końcu 2025 roku.

Firma zajmująca się analizą blockchain wskazuje, że w tych działaniach prawdopodobnie brały udział rosyjskie grupy cyberprzestępcze. Jeden z rosyjskich giełd otrzymał środki powiązane z LastPass jeszcze w październiku bieżącego roku.

Ocena ta opiera się na „całości dowodów z łańcucha bloków — w tym powtarzających się interakcji z infrastrukturą związaną z Rosją, kontynuacji kontroli przed i po procesie mieszania oraz stałym korzystaniu z wysokiego ryzyka rosyjskich giełd jako dróg wyjścia” — dodano w raporcie TRM Labs.

Incydent LastPass z 2022 roku

W 2022 roku LastPass padł ofiarą poważnego włamania, co pozwoliło atakującym na uzyskanie dostępu do danych osobowych użytkowników, w tym ich szyfrowanych skarbców haseł zawierających dane uwierzytelniające, takie jak klucze prywatne kryptowalut i frazy seed.

W tym miesiącu usługa zarządzania hasłami została ukarana przez Brytyjski Urząd Ochrony Danych karą w wysokości 1,6 miliona dolarów za niewdrożenie wystarczająco solidnych środków technicznych i zabezpieczeń, które mogłyby zapobiec temu incydentowi.

Bruteforce i konsekwencje

Po tym incydencie firma wydała ostrzeżenie, wskazując, że przestępcy mogą wykorzystać techniki brute-force do zgadywania haseł głównych oraz dekodowania skradzionych danych. Najnowsze ustalenia TRM Labs pokazują, że cyberprzestępcy rzeczywiście to zrobili.

„Każdy skarbiec chroniony słabym hasłem głównym mógłby zostać ostatecznie złamany offline, co przekształca jednorazowe włamanie z 2022 roku w okno wieloletnich działań atakujących, którzy cicho łamią hasła i osuszają aktywa z upływem czasu” — stwierdzili przedstawiciele firmy.

Powiązania z Rosją

Powiązania rosyjskie ze skradzionymi kryptowalutami pochodzącymi z włamania do LastPass w 2022 roku opierają się na dwóch głównych czynnikach: użyciu giełd często powiązanych z rosyjskim ekosystemem cyberprzestępczym oraz operacyjnych połączeniach, które można zidentyfikować w portfelach wchodzących w interakcję z mikserami przed i po procesie mieszania oraz prania pieniędzy.

Śledztwo wykazało, że ponad 35 milionów dolarów w wykradzionych aktywach cyfrowych zostało zidentyfikowanych, z czego 28 milionów dolarów zostało przekształconych w Bitcoin i wypranych za pośrednictwem Wasabi Wallet między końcem 2024 a początkiem 2025 roku. Kolejne 7 milionów dolarów zostało powiązanych z kolejną falą, wykrytą we wrześniu 2025 roku.

Rosyjskie giełdy i techniki prania pieniędzy

Ukradzione fundusze zostały wykryte w transakcjach przez Cryptomixer.io i wyprane poprzez giełdy Cryptex oraz Audia6, które są związane z działalnością nielegalną. Warto zaznaczyć, że Cryptex został objęty sankcjami przez Departament Skarbu USA we wrześniu 2024 roku za otrzymanie ponad 51,2 miliona dolarów z nielegalnych funduszy pochodzących z ataków ransomware.

„To jasny przykład tego, jak jedno włamanie może przekształcić się w kampanię kradzieżową trwającą wiele lat” — zauważył Ari Redbord, globalny szef polityki w TRM Labs. „Nawet gdy stosowane są miksery, schematy operacyjne, ponowne użycie infrastruktury i zachowanie dróg wyjścia mogą ujawnić, kto naprawdę stoi za tymi działaniami.”

„Rosyjskie giełdy wysokiego ryzyka nadal pełnią kluczową rolę jako drogi wyjścia dla globalnej cyberprzestępczości. Ten przypadek pokazuje, dlaczego demiksowanie i analiza na poziomie ekosystemu są teraz niezbędnymi narzędziami do atrybucji i egzekwowania prawa.”