Gli investigatori della TRM Labs hanno collegato una serie di furti di criptovalute per un totale di circa 35 milioni di dollari a una violazione delle credenziali in LastPass, un popolare gestore di password. L'analisi si è concentrata sugli asset rubati dopo l'intrusione del 2022, che ha esposto scrigni utente cifrati contenenti chiavi private. Nonostante la necessità di password principali per accedere agli account individuali, credenziali deboli hanno permesso la decrittazione offline dei dati chiave, consentendo agli aggressori di esfiltrare informazioni sui portafogli nel corso di un periodo prolungato e mirare agli account di utenti detentori di criptovalute.
Le analisi forensi della blockchain di TRM hanno rivelato che asset non Bitcoin sono stati rapidamente scambiati in Bitcoin tramite servizi di scambio on-chain. I depositi successivi sono stati instradati verso Wasabi Wallet, un protocollo di miscelazione orientato alla privacy, per oscurare l'origine delle transazioni. I ricercatori hanno identificato firme di transazione coerenti, tra cui input SegWit e software di portafoglio comuni, collegando i vari incidenti a un solo attore di minaccia. Sono state applicate tecniche di demixing per rintracciare oltre 28 milioni di dollari di fondi riciclati attraverso Cryptomixer.io e Cryptex, un exchange russo sanzionato dall'OFAC. Un'ulteriore ondata a settembre 2025 ha visto altri 7 milioni di dollari convogliati verso Audi6, rafforzando l'evidenza di gruppi di prelievi coordinati.
L'indagine sottolinea le garanzie di anonimato sempre meno affidabili offerte dai servizi di mixing quando gli attori di minaccia si affidano a endpoint di scambio geografici stabili. L'uso ricorrente di off-ramp russi mette in evidenza vulnerabilità sistemiche nell'infrastruttura finanziaria globale che facilitano la monetizzazione della criminalità informatica. TRM Labs sostiene lo sviluppo di capacità di intelligenza blockchain potenziate per rilevare la continuità comportamentale nelle fasi di riciclaggio. Il caso LastPass rappresenta un raro esempio on-chain di come violazioni storiche delle credenziali possano tradursi in campagne di sfruttamento pluriennali, evidenziando il ruolo critico di una robusta igiene delle password e la necessità di soluzioni di sicurezza su misura per la protezione degli asset digitali.
Commenti (0)