TRM Labs обнаружила следы российских группировок в криптокраже с LastPass

По оценкам TRM, кампания по выводу украденных криптоактивов, связанная с компрометацией резервных копий хранилищ LastPass, тянулась и через 2024, и через 2025 год. Ончейн-логика транзакций показывает, что за кражами стояла одна и та же структура, активно использовавшая площадки высокого риска, которые эксперты неизменно связывают с российскими преступными группами.

При взломе LastPass в 2022-м было похищено множество зашифрованных сейфов с миллионами записей – приватными ключами, сид-фразами и другими чувствительными данными. Хотя данные оставались зашифрованными, злоумышленники могли бесконечно тестировать мастер-пароли офлайн. В тех случаях, где жертвы не обновили или использовали слабые пароли, кошельки начинали пустеть спустя месяцы – и отток средств фиксировался по сей день.

По цепочкам блоков TRM проследила, что свыше $28 млн украденных активов сначала были переведены в Биткоин и промикшированы через Wasabi Wallet в конце 2024-го – начале 2025-го годов, и дополнительно около $7 млн всплыли в новой волне транзакций, замеченной в сентябре 2025 года. Вывод о едином исполнителе TRM строит на «поведенческом совпадении» – одинаковых сигнатурах кошельков, ритмике переводов и структуре использования сервисов до и после микширования.

Маршруты вывода зачастую завершались на Cryptex и Audi6 – биржах, которые относят к российским каналам обналичивания, где украденная крипта меняется на фиат или другие активы. Cryptex, которую в 2024 году Минфин США санкционировал за обработку выручки от ransomware, продолжает играть роль в цепочках, что подтверждает привычку злоумышленников полагаться на знакомые инструменты отмывания.

Специалисты TRM использовали методы «демикса», чтобы разложить на составляющие транзакции, прошедшие через миксеры вроде CoinJoin. Они собрали группы пополнений и переводов с совпадающими параметрами, которые четко укладывались в известные временные и количественные шаблоны краж из LastPass – даже несмотря на попытки замаскировать следы.

Аналитики выделили два фактора, указывающие на российский след: многократное использование платформ, связанных с российской криминальной инфраструктурой, и повторяемые отпечатки цифровых кошельков на всех этапах вывода – знак, что манипуляции выполняет одна и та же группа, а не разрозненные участники.

По словам Томаса Редборда из TRM Labs, случай демонстрирует, насколько живучими могут быть киберпреступные сети – они годами выжимают выгоду из компрометированных данных, если пользователи не обновляют мастер-пароли и оставляют свои хранилища фактически открытыми.

LastPass – менеджер паролей, в котором хранятся зашифрованные данные доступа, включая приватные ключи и фразы восстановления криптокошельков. Сам факт кражи базы ещё не даёт злоумышленникам деньги, но если мастер-пароль слабый, его можно перебрать в офлайне, расшифровать хранилище и получить доступ к активам, открыв кошельки.

В 2022 году сервис пережил крупную утечку: злоумышленники вывели резервные копии сейфов с зашифрованной информацией. После этого регуляторы наложили штрафы за недостаточную безопасность, а отраслевые эксперты предупредили, что, не сменив мастер-пароли, пользователи рискуют со временем потерять средства, когда злоумышленники подберут ключи.