TRM Labs виявила сліди російських угруповань у криптокрадіжці з LastPass

За оцінками TRM, кампанія з виведення вкрадених криптоактивів, пов’язана з компрометацією резервних копій сховищ LastPass, тривала і в 2024, і в 2025 році. Ончейн-логіка транзакцій показує, що за крадіжками стояла одна і та ж структура, яка активно використовувала майданчики високого ризику, які експерти незмінно пов’язують з російськими злочинними групами.

Під час злому LastPass у 2022 році було викрадено безліч зашифрованих сейфів з мільйонами записів – приватними ключами, сід-фразами та іншими чутливими даними. Хоча дані залишалися зашифрованими, зловмисники могли нескінченно тестувати майстер-паролі офлайн. У тих випадках, де жертви не оновили або використовували слабкі паролі, гаманці починали порожніти через місяці – і відтік коштів фіксувався до цього дня.

За ланцюжками блоків TRM простежила, що понад $28 млн вкрадених активів спочатку були переведені в Біткоїни і промикшовані через Wasabi Wallet в кінці 2024-го – на початку 2025-го років, і додатково близько $7 млн спливли в новій хвилі транзакцій, поміченій у вересні 2025 року. Висновок про єдиного виконавця TRM будує на «поведінковій збіжності» – однакових сигнатурах гаманців, ритміці переказів і структурі використання сервісів до і після мікшування.

Маршрути виведення часто завершувалися на Cryptex і Audi6 – біржах, які відносять до російських каналів переведення в готівку, де вкрадена крипта обмінюється на фіат або інші активи. Cryptex, яку в 2024 році Мінфін США санкціонував за обробку виручки від ransomware, продовжує відігравати роль у ланцюжках, що підтверджує звичку зловмисників покладатися на знайомі інструменти відмивання.

Фахівці TRM використовували методи «деміксу», щоб розкласти на складові транзакції, що пройшли через міксери на зразок CoinJoin. Вони зібрали групи поповнень і переказів із збіжними параметрами, які чітко вкладалися у відомі часові та кількісні шаблони крадіжок з LastPass – навіть незважаючи на спроби замаскувати сліди.

Аналітики виділили два фактори, що вказують на російський слід: багаторазове використання платформ, пов’язаних з російською кримінальною інфраструктурою, і повторювані відбитки цифрових гаманців на всіх етапах виведення – знак, що маніпуляції виконує одна і та ж група, а не розрізнені учасники.

За словами Томаса Редборда з TRM Labs, цей випадок демонструє, наскільки живучими можуть бути кіберзлочинні мережі – вони роками вичавлюють вигоду з компрометованих даних, якщо користувачі не оновлюють майстер-паролі і залишають свої сховища фактично відкритими.

LastPass – менеджер паролів, в якому зберігаються зашифровані дані доступу, включаючи приватні ключі та фрази відновлення криптогаманців. Сам факт крадіжки бази ще не дає зловмисникам грошей, але якщо майстер-пароль слабкий, його можна перебрати в офлайні, розшифрувати сховище і отримати доступ до активів, відкривши гаманці.

У 2022 році сервіс пережив великий витік: зловмисники вивели резервні копії сейфів із зашифрованою інформацією. Після цього регулятори наклали штрафи за недостатню безпеку, а галузеві експерти попередили, що, не змінивши майстер-паролі, користувачі ризикують з часом втратити кошти, коли зловмисники підберуть ключі.