Η εταιρεία ερευνών Blockchain TRM Labs λέει ότι οι συνεχιζόμενες κλοπές κρυπτονομισμάτων εντοπίζονται στην παραβίαση του LastPass το 2022, με τους επιτιθέμενους να αποστραγγίζουν πορτοφόλια χρόνια μετά την κλοπή κρυπτογραφημένων θυρίδων και να ξεπλένουν τα κρυπτονομίσματα μέσω ρωσικών ανταλλακτηρίων.
Το 2022, το LastPass αποκάλυψε ότι οι επιτιθέμενοι παραβίασαν τα συστήματά του διακυβεύοντας ένα περιβάλλον προγραμματιστή, κλέβοντας τμήματα του πηγαίου κώδικα της εταιρείας και ιδιόκτητων τεχνικών πληροφοριών.
Σε ένα μεταγενέστερο, αλλά σχετικό περιστατικό ασφαλείας, οι χάκερ παραβίασαν την εταιρεία αποθήκευσης cloud GoTo χρησιμοποιώντας προηγουμένως κλεμμένα διαπιστευτήρια και έκλεψαν αντίγραφα ασφαλείας της βάσης δεδομένων LastPass που ήταν αποθηκευμένα στην πλατφόρμα. Για ορισμένους πελάτες, αυτά τα κρυπτογραφημένα θησαυροφυλάκια κωδικών πρόσβασης δεν περιείχαν μόνο διαπιστευτήρια, αλλά και ιδιωτικά κλειδιά πορτοφολιού κρυπτονομισμάτων και βασικές φράσεις.
Ενώ τα θησαυροφυλάκια ήταν κρυπτογραφημένα, οι χρήστες με αδύναμους ή επαναχρησιμοποιημένους κύριους κωδικούς πρόσβασης ήταν ευάλωτοι σε σπάσιμο εκτός σύνδεσης, το οποίο πιστεύεται ότι συνεχίζεται από την παραβίαση.
“Ανάλογα με το μήκος και την πολυπλοκότητα του κύριου κωδικού πρόσβασης και της ρύθμισης μέτρησης επαναλήψεων, μπορεί να θέλετε να επαναφέρετε τον κύριο κωδικό πρόσβασης.” προειδοποίησε το LastPass όταν αποκάλυψαν την παραβίαση.
Η σύνδεση μεταξύ των παραβιάσεων του LastPass και των κλοπών κρυπτονομισμάτων επιβεβαιώθηκε περαιτέρω από τη Μυστική Υπηρεσία των ΗΠΑ, η οποία το 2025 κατέσχεσε περισσότερα από 23 εκατομμύρια δολάρια σε κρυπτονομίσματα και είπε ότι οι εισβολείς είχαν αποκτήσει τα ιδιωτικά κλειδιά των θυμάτων αποκρυπτογραφώντας τα δεδομένα θυρίδας που είχαν κλαπεί σε παραβίαση του διαχειριστή κωδικών πρόσβασης.
Σε δικαστικές καταθέσειςοι πράκτορες είπαν ότι δεν υπάρχουν ενδείξεις ότι οι συσκευές των θυμάτων είχαν παραβιαστεί μέσω phishing ή κακόβουλου λογισμικού και ότι πίστευαν ότι η κλοπή συνδέθηκε με τις κλεμμένες θήκες κωδικών πρόσβασης.
Οι κλοπές κρυπτογράφησης που συνδέονται με την παραβίαση του LastPass
Σε μια αναφορά που δημοσιεύθηκε την περασμένη εβδομάδα, η TRM είπε ότι οι συνεχιζόμενες επιθέσεις κλοπής κρυπτονομισμάτων εντοπίζονται στην κατάχρηση των κρυπτογραφημένων θυρίδων κωδικών πρόσβασης LastPass που κλάπηκαν το 2022.
Αντί να αποστραγγίζεται το πορτοφόλι αμέσως μετά από μια παραβίαση, οι κλοπές έγιναν κατά κύματα μήνες ή χρόνια αργότερα, υποδεικνύοντας πώς οι επιτιθέμενοι αποκρυπτογραφούσαν σταδιακά τα θησαυροφυλάκια και εξάγονταν αποθηκευμένα διαπιστευτήρια.
Τα επηρεαζόμενα πορτοφόλια αποστραγγίστηκαν χρησιμοποιώντας παρόμοιες μεθόδους συναλλαγών, χωρίς αναφορές για νέα επίθεση, γεγονός που υποδηλώνει ότι ο εισβολέας είχε τα ιδιωτικά κλειδιά πριν από τις κλοπές.
“Η σύνδεση στην αναφορά δεν βασίζεται στην άμεση απόδοση σε μεμονωμένους λογαριασμούς LastPass, αλλά στη συσχέτιση της δραστηριότητας στην αλυσίδα κατάντη με το γνωστό μοτίβο επιπτώσεων της παραβίασης του 2022”, είπε η TRM στο BleepingComputer.
«Αυτό δημιούργησε ένα σενάριο στο οποίο η αποστράγγιση του πορτοφολιού θα γινόταν πολύ μετά την αρχική παραβίαση, και όχι αμέσως, και σε διακριτά κύματα».
Η TRM είπε στην BleepingComputer ότι η έρευνά της βασίστηκε αρχικά σε έναν μικρό αριθμό αναφορών, συμπεριλαμβανομένων των υποβολών στο Chainabuse, στις οποίες οι χρήστες εντόπισαν την παραβίαση του LastPass ως τη μέθοδο που έκλεψαν τα πορτοφόλια τους.
Οι ερευνητές επέκτειναν την έρευνά τους εντοπίζοντας τη συμπεριφορά συναλλαγών κρυπτονομισμάτων σε άλλες περιπτώσεις, συνδέοντας τις κλοπές με την καμπάνια κλοπής δεδομένων LastPass.
Η TRM είπε στο BleepingComputer ότι το πιο σημαντικό μέρος της έρευνάς τους ήταν η δυνατότητα εντοπισμού κλεμμένων κεφαλαίων ακόμα και μετά την ανάμειξή τους χρησιμοποιώντας τη δυνατότητα CoinJoin του Wasabi Wallet.
Το CoinJoin είναι μια τεχνική απορρήτου Bitcoin που συνδυάζει συναλλαγές από πολλούς χρήστες σε μια ενιαία συναλλαγή, καθιστώντας πιο δύσκολο τον προσδιορισμό ποιες εισροές αντιστοιχούν σε ποιες εξόδους.
Το Wasabi Wallet περιλαμβάνει το CoinJoin ως ενσωματωμένη δυνατότητα, επιτρέποντας στους χρήστες να αναμειγνύουν αυτόματα το Bitcoin τους με άλλα για να αποκρύψουν τις συναλλαγές χωρίς να βασίζονται σε μια υπηρεσία μίξης.
Μετά την αποστράγγιση των πορτοφολιών, οι εισβολείς μετέτρεψαν τα κλεμμένα κρυπτογράφηση σε Bitcoin, τα δρομολόγησαν μέσω του Wasabi Wallet και προσπάθησαν να κρύψουν τα ίχνη τους χρησιμοποιώντας συναλλαγές CoinJoin.
Ωστόσο, η TRM λέει ότι μπόρεσε να «απομιμήσει» το κρυπτονόμισμα που αποστέλλεται μέσω συναλλαγών CoinJoin αναλύοντας χαρακτηριστικά συμπεριφοράς, όπως η δομή των συναλλαγών, ο χρονισμός και οι επιλογές διαμόρφωσης πορτοφολιού.
“Αντί να προσπαθούν να απομειώσουν τις μεμονωμένες κλοπές μεμονωμένα, οι αναλυτές του TRM ανέλυσαν τη δραστηριότητα ως συντονισμένη καμπάνια, εντοπίζοντας ομάδες καταθέσεων και αναλήψεων Wasabi με την πάροδο του χρόνου. Χρησιμοποιώντας ιδιόκτητες τεχνικές απομίξης, οι αναλυτές αντιστοίχισαν τις καταθέσεις των χάκερ με ένα συγκεκριμένο σύμπλεγμα αναλήψεων του οποίου η συγκεντρωτική αξία και η συγχρονισμός ήταν αντίστοιχη με τη ροή των καταθέσεων. να είναι τυχαίο.
Τα δακτυλικά αποτυπώματα blockchain που παρατηρήθηκαν πριν από την ανάμειξη, σε συνδυασμό με τη νοημοσύνη που σχετίζεται με τα πορτοφόλια μετά τη διαδικασία ανάμειξης, υποδεικνύουν σταθερά τον επιχειρησιακό έλεγχο με βάση τη Ρωσία. Η συνέχεια στα στάδια πριν και μετά την ανάμειξη ενισχύει την πεποίθηση ότι η δραστηριότητα ξεπλύματος διεξήχθη από φορείς που δραστηριοποιούνται ή συνδέονται στενά με το ρωσικό οικοσύστημα εγκλήματος στον κυβερνοχώρο».
❖ TRM Labs
Αντιμετωπίζοντας τις κλοπές ως μια συντονισμένη εκστρατεία και όχι ως μεμονωμένους συμβιβασμούς, η TRM μπόρεσε να αντιστοιχίσει ομάδες καταθέσεων Wasabi με μοτίβα ανάληψης που ταίριαζαν με τις επιθέσεις κλοπής κρυπτογράφησης μέσω της παραβίασης του LastPass.
Οι πρόωρες αναλήψεις μετά την αποστράγγιση του πορτοφολιού δείχνουν περαιτέρω ότι οι ίδιοι παράγοντες απειλής που έκλεψαν τα κεφάλαια ήταν πίσω από τη δραστηριότητα ανάμειξης.
Χρησιμοποιώντας αυτήν την τεχνική, η TRM εκτιμά ότι περισσότερα από 28 εκατομμύρια δολάρια σε κρυπτονομίσματα κλάπηκαν και ξεπλύθηκαν μέσω του Wasabi Wallet στα τέλη του 2024 και στις αρχές του 2025. Επιπλέον 7 εκατομμύρια δολάρια συνδέθηκαν με ένα μεταγενέστερο κύμα επιθέσεων τον Σεπτέμβριο του 2025.
Η TRM λέει ότι τα κεφάλαια εξαργυρώθηκαν επανειλημμένα μέσω των ίδιων χρηματιστηρίων που συνδέονται με τη Ρωσία, συμπεριλαμβανομένων των Cryptex και Audi6, υποδεικνύοντας περαιτέρω ότι πίσω από αυτές τις παραβιάσεις βρίσκονται οι ίδιοι παράγοντες απειλής.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
