Η εταιρεία πληροφοριών Blockchain TRM Labs εντόπισε περισσότερα από 35 εκατομμύρια δολάρια σε κλεμμένα κρυπτονομίσματα στην παραβίαση του LastPass το 2022, αποκαλύπτοντας μια εξελιγμένη ρωσική επιχείρηση νομιμοποίησης εγκληματικών εγκλημάτων στον κυβερνοχώρο που παραμένει ενεργή μέχρι το 2025.
Το 2022, χάκερ παραβίασαν το LastPass και έκλεψαν κρυπτογραφημένες θήκες κωδικών πρόσβασης που περιείχαν τα διαπιστευτήρια περίπου 30 εκατομμυρίων χρηστών σε όλο τον κόσμο.
Παρόλο που τα θησαυροφυλάκια ήταν κρυπτογραφημένα, οι εισβολείς τα κατέβασαν μαζικά και άρχισαν να σπάζουν αδύναμους κύριους κωδικούς πρόσβασης εκτός σύνδεσης.
Αυτό επέτρεψε στους εγκληματίες του κυβερνοχώρου να έχουν πρόσβαση στα ιδιωτικά κλειδιά και τις βασικές φράσεις που ήταν αποθηκευμένες στο εσωτερικό, οδηγώντας σε συνεχή αποστράγγιση πορτοφολιών καθ’ όλη τη διάρκεια του 2024 και του 2025, περισσότερα από τρία χρόνια μετά την αρχική παραβίαση.
Η TRM Labs εκτιμά ότι περισσότερα από 28 εκατομμύρια δολάρια κλάπηκαν, μετατράπηκαν σε Bitcoin και ξεπλύθηκαν μέσω του Wasabi Wallet, μιας υπηρεσίας ανάμειξης που εστιάζει στο απόρρητο.
Οι πιο πρόσφατες συναλλαγές που συνδέονται με το LastPass πραγματοποιήθηκαν μέχρι τον Οκτώβριο του 2025, με επιπλέον 7 εκατομμύρια δολάρια να εντοπίζονται τον Σεπτέμβριο.
Η απομίξη εκθέτει τη ρωσική υποδομή
Χρησιμοποιώντας προηγμένες τεχνικές απομίξης, οι αναλυτές του TRM νίκησαν την προστασία απορρήτου των μείκτη CoinJoin όπως το Wasabi Wallet, εντοπίζοντας μοτίβα συμπεριφοράς και δακτυλικά αποτυπώματα συναλλαγών.
Η ανάλυση αποκάλυψε ότι κλεμμένα κεφάλαια έρρεαν με συνέπεια στα ρωσικά χρηματιστήρια Cryptex και Audi6, τα οποία και τα δύο σχετίζονται με ξέπλυμα βρώμικου χρήματος στον κυβερνοχώρο.
Οι πληροφορίες που συνδέονται με πορτοφόλια τόσο πριν όσο και μετά την ανάμειξη υποδεικνύουν τον επιχειρησιακό έλεγχο με βάση τη Ρωσία, υποδεικνύοντας τη συνέχεια σε πολλαπλές φάσεις ξεπλύματος παρά μεμονωμένη δραστηριότητα.
Το Cryptex επιβλήθηκε κυρώσεις από την OFAC το 2024 για διευκόλυνση πληρωμών ransomware. Αυτή η περίπτωση καταδεικνύει ότι οι μείκτες κρυπτονομισμάτων δεν εξαλείφουν τον κίνδυνο απόδοσης όταν οι φορείς απειλών βασίζονται σε συνεπή υποδομή.
Η μεθοδολογία απομίξεως του TRM αποκαλύφθηκε ομαδοποιημένα μοτίβα απόσυρσης και αλυσίδες αποφλοίωσης που διοχέτευαν μικτό Bitcoin σε γνωστά ρωσικά χρηματιστήρια, δείχνοντας τη λειτουργική αρχιτεκτονική του αγωγού ξεπλύματος.
Για τους 25 εκατομμύρια επηρεασμένους χρήστες του LastPass που απέτυχαν να περιστρέψουν τους κωδικούς πρόσβασης ή να ασφαλίσουν τα θησαυροφυλάκια τους, η απειλή παραμένει ενεργή, μια έντονη υπενθύμιση ότι οι παραβιάσεις διαπιστευτηρίων μπορούν να δημιουργήσουν πολυετή παράθυρα εκμετάλλευσης.
