TRM Labs: rosyjska grupa hakerska wyprała $35 mln, skradzionych przez włamanie do LastPass

Autor wiadomości: Crypto Emergency

Rosyjscy cyberprzestępcy, według danych TRM Labs, mogą stać za legalizacją ponad $35 mln w kryptowalucie, skradzionej od użytkowników menedżera haseł LastPass. Eksperci łączą wieloletnie wypłaty z kompromitacją systemu bezpieczeństwa usługi w 2022 roku. Skradzione aktywa przechodziły przez infrastrukturę, która historycznie kojarzy się z rosyjskim rynkiem cieni.

Jak hakerzy prali skradzione środki
Badacze ustalili, że przestępcy aktywnie wykorzystywali protokoły prywatności do ukrywania śladów. Jednak ostatecznie aktywa osiadały na platformach działających w Rosji. Zgodnie z raportem, wypłata środków z skompromitowanych portfeli trwała aż do końca 2025 roku.

Hakerzy stosowali kanały tradycyjnie używane przez rosyjskie grupy cyberprzestępcze. Jednym z kluczowych węzłów była giełda Cryptex, znajdująca się pod sankcjami OFAC. TRM Labs zidentyfikowała 'stabilny on-chain styl', wskazujący na pracę jednorodnej skoordynowanej grupy. Przestępcy regularnie konwertowali różne tokeny na bitcoin poprzez serwisy szybkiej wymiany, po czym kierowali środki do mikserów — Wasabi Wallet i CoinJoin.

Jak udało się zdeanonimizować transakcje
Miksery łączą środki wielu użytkowników, utrudniając śledzenie transakcji. Jednak analitycy TRM Labs odkryli luki w tym, jak przestępcy wykorzystywali te narzędzia.

Specjaliści zastosowali analizę ciągłości behawioralnej i zbadali cyfrowe odciski, w tym cechy importu prywatnych kluczy do portfeli. To pozwoliło na 'rozmiksowanie' transakcji i odzyskanie łańcucha ruchu środków aż do ich ostatecznego umiejscowienia na rosyjskich giełdach.

Rola rosyjskich platform kryptograficznych
Oprócz Cryptex, śledztwo ujawniło udział serwisu Audi6, przez który przeszło około $7 mln skradzionych aktywów. TRM Labs zauważa, że portfele interaktywnie z mikserami wykazywały związki z Rosją zarówno przed, jak i po operacjach prania pieniędzy. To wskazuje na to, że hakerzy działali bezpośrednio z regionu, a nie tylko wykorzystywali infrastrukturę.

Uzyskane dane potwierdzają rolę poszczególnych platform kryptograficznych w wspieraniu globalnej cyberprzestępczości. Zapewniając płynność i kanały do wypłaty skradzionych aktywów cyfrowych, takie serwisy pomagają grupom przestępczym monetyzować włamania i unikać międzynarodowego ścigania.

#cybercrime #lastpass #cryptosecurity #BlockchainAnalysis #CryptoFraud