Śledczy z TRM Labs powiązali serię kradzieży kryptowalut o łącznej wartości około 35 milionów dolarów z naruszeniem danych uwierzytelniających w LastPass, popularnym menedżerze haseł. Analiza skupiła się na aktywach skradzionych po ataku w 2022 roku, który ujawnił zaszyfrowane sejfy użytkowników zawierające klucze prywatne. Pomimo wymogu posiadania haseł głównych do dostępu do poszczególnych kont, słabe poświadczenia umożliwiły deszyfrowanie offline danych kluczowych, co pozwoliło sprawcom na eksfiltrację informacji o portfelach przez dłuższy okres i atakowanie kont należących do użytkowników posiadających kryptowaluty.
Śledztwo TRM Labs wykazało, że aktywa inne niż Bitcoin były szybko zamieniane na Bitcoina za pośrednictwem usług wymiany on-chain. Późniejsze depozyty kierowano do Wasabi Wallet, protokołu mieszającego skoncentrowanego na prywatności, aby zatuszować pochodzenie transakcji. Badacze zidentyfikowali spójne sygnatury transakcji, w tym wejścia SegWit i powszechne oprogramowanie portfeli, łącząc rozproszone incydenty z jednym aktorem zagrożenia. Zastosowano techniki demiksowania, aby wyśledzić ponad 28 milionów dolarów pieniędzy wyłudzonych poprzez Cryptomixer.io i Cryptex, rosyjską giełdę objętą sankcjami OFAC. Kolejna fala we wrześniu 2025 roku doprowadziła do przekazania dodatkowych 7 milionów dolarów na Audi6, co potwierdza dowody koordynowanych klastrów wycofywania.
Śledztwo podkreśla malejącą gwarancję anonimowości oferowaną przez usługi mieszania, gdy sprawcy polegają na stabilnych geograficznych punktach wymiany. Powtarzające się użycie rosyjskich punktów wyjścia podkreśla systemowe podatności w globalnej infrastrukturze finansowej, które ułatwiają monetyzację cyberprzestępstwa. TRM Labs postuluje wzmocnienie możliwości analizy blockchain, aby wykrywać ciągłość zachowań na kolejnych etapach prania pieniędzy. Przypadek LastPass stanowi rzadki przykład na łańcuchu bloków ukazujący, jak historyczne naruszenia danych uwierzytelniających mogą przekładać się na wieloletnie kampanie wykorzystywania, podkreślając kluczową rolę solidnej higieny haseł i potrzebę rozwiązań zabezpieczeń dostosowanych do ochrony cyfrowych aktywów.
Komentarze (0)