Ślady rosyjskich cybergrup w kradzieży kryptowalut z LastPass

Z analiz TRM wynika, że proces wyprowadzania kryptowalut skradzionych po kompromitacji kopii zapasowych sejfów LastPass rozciągnął się na lata 2024–2025. Logika przepływów onchain wskazuje na jednego sprawcę lub strukturę, która systematycznie korzystała z infrastruktury wysokiego ryzyka, od lat wiązanej przez badaczy z rosyjskimi grupami cyberprzestępczymi.

W wyniku włamania do LastPass w 2022 roku przejęto ogromne ilości zaszyfrowanych sejfów zawierających miliony wrażliwych danych – od kluczy prywatnych po frazy seed. Choć dane były zaszyfrowane, atakujący mogli w nieskończoność łamać hasła główne offline. W sytuacjach, gdy ofiary nie zmieniły haseł lub stosowały słabe kombinacje, portfele były opróżniane stopniowo, często wiele miesięcy później – a takie przypadki notowane są do dziś.

Z rekonstrukcji łańcuchów bloków TRM wynika, że ponad 28 mln dolarów skradzionych aktywów trafiło najpierw do Bitcoina i zostało przepuszczone przez Wasabi Wallet pod koniec 2024 roku oraz na początku 2025 roku. Następnie ujawniono kolejną falę o wartości około 7 mln dolarów, zaobserwowaną we wrześniu 2025 roku. O istnieniu jednego wykonawcy TRM wnioskuje na podstawie „zbieżności zachowań” – powtarzalnych sygnatur portfeli, regularności transferów i tej samej architektury użycia usług przed i po miksowaniu.

Końcowe etapy wyprowadzania środków często prowadziły do Cryptex i Audi6 – platform uznawanych za rosyjskie kanały upłynniania, gdzie skradziona kryptowaluta zamieniana jest na fiat lub inne instrumenty. Cryptex, objęta sankcjami Departamentu Skarbu USA w 2024 roku za obsługę wpływów z ransomware, nadal pojawia się w tych ścieżkach, co potwierdza nawyk korzystania z dobrze znanych narzędzi.

Eksperci TRM sięgnęli po techniki „demix”, rozbijając transakcje pochodzące z mikserów takich jak CoinJoin. Zbudowali klastry zasileń i transferów o zgodnych parametrach, które jednoznacznie mieściły się w znanych oknach czasowych i wolumenach kradzieży z LastPass – nawet mimo prób maskowania śladów.

W analizie wyłoniono dwa sygnały rosyjskiego śladu: cykliczne wykorzystywanie platform związanych z rosyjską infrastrukturą przestępczą oraz powtarzające się fingerprinty portfeli na całej ścieżce wyprowadzania, co wskazuje na działanie jednej, spójnej grupy.

Jak zauważa Thomas Redbord z TRM Labs, ten incydent dowodzi, jak odporne są siatki cyberprzestępcze – jeśli użytkownicy nie zmieniają haseł głównych, a sejfy pozostają „uchylone”, przestępcy potrafią przez lata wyciskać wartość z przejętych danych.

LastPass to menedżer haseł gromadzący zaszyfrowane informacje dostępowe, w tym prywatne klucze i seed phrases portfeli krypto. Sama kradzież bazy nie przekłada się automatycznie na zyski, lecz przy słabym haśle możliwe jest offline’owe jego odgadnięcie, odszyfrowanie sejfu i przejęcie aktywów.

W 2022 roku doszło do dużego wycieku: napastnicy wynieśli kopie zapasowe sejfów z zaszyfrowanymi treściami. W następstwie pojawiły się sankcje regulatorów oraz ostrzeżenia ekspertów, że brak zmiany haseł głównych może z czasem skończyć się stratami.