Es probable que los criminales cibernéticos rusos estén involucrados en el blanqueo de más de 35 millones de dólares en criptomonedas robadas a usuarios de LastPass, según informó la empresa de análisis de blockchain TRM Labs.
Esta investigación ha vinculado la filtración de carteras de criptomonedas a lo largo de varios años con la violación del servicio de gestión de contraseñas LastPass en 2022. Se señala que los fondos robados se movieron a través de infraestructuras financieras ilegales relacionadas con organizaciones criminales cibernéticas rusas.
Métodos de blanqueo de dinero de ciberdelincuentes rusos
Según los investigadores de TRM Labs, aunque los atacantes utilizaron protocolos de privacidad para ocultar el flujo de fondos, finalmente estaban enviando dinero a plataformas con sede en Rusia.
Según el informe, los delincuentes continúan drenando activos de billeteras recientemente comprometidas hasta finales de 2025.
Los atacantes maliciosos canalizaron sistemáticamente los fondos robados a "off-ramps" que históricamente han sido utilizadas por actores de amenazas rusos. Un ejemplo de esto es Cryptex, que actualmente está sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU.
TRM Labs identificó una "firma en cadena consistente" que vincula estos robos a un único grupo organizado.
Los atacantes convirtieron repetidamente activos distintos de Bitcoin a Bitcoin a través de servicios de intercambio instantáneo. Después, enviaron los fondos a servicios de mezcla como Wasabi Wallet y CoinJoin.
Estas herramientas agrupan los fondos de múltiples usuarios, complicando el historial de transacciones, y están diseñadas teóricamente para ser difíciles de rastrear.
Sin embargo, el informe destaca las graves deficiencias de estas tecnologías de privacidad. Los analistas tuvieron éxito en el "demixing" mediante análisis de continuidad de comportamiento.
Los investigadores rastrearon las huellas digitales, como cómo el software de billetera importó claves privadas, y lograron descifrar el proceso de mezcla. Identificaron el flujo de monedas digitales que pasaron a través de protocolos de privacidad y confirmaron la entrada final a intercambios rusos.
Además de Cryptex, los investigadores rastrearon aproximadamente 7 millones de dólares de los fondos robados a otro servicio de intercambio operado dentro del ecosistema de ciberdelincuencia ruso, Audi6.
El informe señala que las billeteras que interactuaron con mezcladores mostraron "vínculos operacionales con Rusia" antes y después del blanqueo de dinero. Se cree que los hackers no solo estaban utilizando infraestructura alquilada, sino que operaban directamente desde el lugar.
Estos hechos destacan la realidad de que las plataformas de activos criptográficos originarias de Rusia están fomentando el ciberdelito global.
Al proporcionar salidas y liquidez para activos digitales robados, estos intercambios están ayudando a la conversión de fondos derivados de violaciones de datos y a la evasión de la aplicación de la ley internacional.
