TRM Labs a raportat că este foarte probabil ca infractorii cibernetici din Rusia să fie implicați în spălarea a peste 35 de milioane de dolari în active criptografice furate de la utilizatorii LastPass.
Această investigație a legat scurgerile de portofele de active criptografice pe parcursul a câțiva ani de compromiterea serviciului de gestionare a parolelor LastPass din 2022. Sumele furate au fost mutate prin infrastructura financiară ilegală asociată cu organizații criminale cibernetice din Rusia.
Metodele de spălare a banilor ale criminalilor cibernetici de origine rusă
Conform cercetătorilor de la TRM Labs, atacatorii au folosit protocoale de confidențialitate pentru a ascunde fluxul de fonduri, dar în cele din urmă au trimis banii către platforme bazate în Rusia.
Conform raportului, infractorii continuă să scurgă active din portofelele compromise recent până la sfârșitul anului 2025.
Atacatorii rău intenționați au canalizat sistematic fondurile furate către „off-ramp”-uri utilizate istoric de amenințări de origine rusă. Un exemplu este Cryptex, care este acum sub sancțiuni din partea Biroului pentru Controlul Activelor Străine al Departamentului de Trezorerie al SUA (OFAC).
TRM Labs a declarat că a identificat „semnături on-chain consistente” care leagă aceste furturi de un singur grup organizat.
Atacatorii au schimbat repetat activele în Bitcoin prin servicii de schimb instantaneu, convertind astfel fondurile înainte de a le trimite către servicii de mixare precum Wasabi Wallet sau CoinJoin.
Aceste instrumente combină fondurile mai multor utilizatori pentru a complica istoricul tranzacțiilor, fiind proiectate teoretic să fie greu de urmărit.
Cu toate acestea, raportul subliniază deficiențele majore ale acestor tehnologii de confidențialitate. Analiștii au reușit să aibă succes în analiza continuității comportamentului prin „demixare”.
Investigatori au urmărit amprentele digitale, cum ar fi modul în care software-ul de portofel a importat cheile private, reușind să decripteze procesul de mixare. Au identificat fluxul de criptomonedă care a trecut prin protocoale de confidențialitate și au confirmat fluxul final către bursa din Rusia.
Pe lângă Cryptex, investigatorii au urmărit aproximativ 7 milioane de dolari din fondurile furate către un alt serviciu de tranzacționare operat în ecosistemul criminal cibernetic din Rusia, Audi6.
Raportul indică faptul că portofelele care au interacționat cu mixerele au arătat „legături operaționale cu Rusia” înainte și după spălarea de bani. Se pare că hackerii nu au folosit doar închirierea infrastructurii, ci au operat direct din teren.
Aceste fapte scot la iveală realitatea că platformele criptografice originare din Rusia facilitează criminalitatea cibernetică la nivel global.
Aceste burse ajută la convertirea fondurilor furate în numerar și la evitarea aplicării legii internaționale prin furnizarea de ieșiri și lichiditate pentru activele digitale furate.
