Rosyjscy cyberprzestępcy są prawdopodobnie odpowiedzialni za pranie ponad 35 milionów dolarów w kryptowalutach skradzionych od użytkowników LastPass, zgodnie z raportem firmy wywiadowczej blockchain TRM Labs.
Analiza powiązała wieloletnie wyczerpywanie portfeli kryptowalutowych z włamaniem do menedżera haseł LastPass w 2022 roku. Zauważono, że skradzione środki przepływały przez nielegalną infrastrukturę finansową powiązaną z rosyjskim podziemiem cyberprzestępczym.
Sponsorowane
Sponsorowane
Jak rosyjscy cyberprzestępcy prali skradzione środki
Badacze TRM Labs odkryli, że atakujący wykorzystywali protokoły prywatności do ukrywania śladu pieniędzy, ale ostatecznie przekierowali środki na platformy z siedzibą w Rosji.
Zgodnie z raportem, sprawcy nadal wyciągali aktywa ze skompromitowanych skarbców jeszcze pod koniec 2025 roku.
Złośliwi aktorzy systematycznie prali skradzione środki przez platformy wypłat, z których historycznie korzystali rosyjscy sprawcy zagrożeń. Jednym z tych miejsc był Cryptex, giełda obecnie objęta sankcjami amerykańskiego Biura Kontroli Aktywów Zagranicznych (OFAC).
TRM Labs poinformowało, że zidentyfikowało "spójny podpis on-chain" łączący kradzieże z jedną, skoordynowaną grupą.
Atakujący wielokrotnie konwertowali aktywa inne niż BTC na BTC, korzystając z usług natychmiastowej wymiany. Następnie środki były przenoszone do usług mieszających, takich jak Wasabi Wallet i CoinJoin.
Sponsorowane
Sponsorowane
Te narzędzia są zaprojektowane do łączenia środków od wielu użytkowników w celu zaciemnienia historii transakcji, teoretycznie czyniąc je niemożliwymi do wyśledzenia.
Jednak raport podkreśla istotną wadę tych technologii prywatności. Analitycy byli w stanie "rozmieszać" transakcje za pomocą analizy ciągłości behawioralnej.
Śledczy śledzili konkretne ślady cyfrowe, takie jak sposób, w jaki oprogramowanie portfela importowało klucze prywatne, i pomyślnie odwrócili proces mieszania. Pozwoliło im to śledzić walutę cyfrową przez protokoły prywatności i obserwować jej ostateczny depozyt na rosyjskich giełdach.
Oprócz Cryptex, śledczy prześledzili około 7 milionów dolarów skradzionych środków do Audi6, innej usługi wymiany działającej w rosyjskim ekosystemie cyberprzestępczym.
Rola rosyjskich platform kryptowalutowych w praniu środków z Lastpass. Źródło: TRM LabsRaport zauważa, że portfele wchodzące w interakcje z mikserami wykazywały "powiązania operacyjne" z Rosją zarówno przed, jak i po procesie prania. Sugeruje to, że hakerzy nie tylko wynajmowali infrastrukturę, ale działali bezpośrednio z tego regionu.
Ustalenia podkreślają rolę rosyjskich platform kryptowalutowych w umożliwianiu globalnej cyberprzestępczości.
Zapewniając płynność i platformy wypłat dla skradzionych aktywów cyfrowych, te giełdy pozwalają grupom przestępczym monetyzować naruszenia danych, jednocześnie unikając międzynarodowych organów ścigania.
Źródło: https://beincrypto.com/russian-actors-linked-to-lastpass-crypto-funds-laundering/
