Las copias de seguridad cifradas de la bóveda robadas en la filtración de datos de LastPass de 2022 permitieron a los atacantes explotar contraseñas maestras débiles para descifrar contraseñas y exfiltrar activos de criptomonedas, según una nueva investigación de TRM Labs.
La firma de inteligencia blockchain dijo que hay evidencia de que los ciberdelincuentes rusos están involucrados en esta actividad y que uno de los intercambios rusos recibió fondos relacionados con LastPass en octubre.
Añadió que la evaluación se «basó en la totalidad de la evidencia en cadena, incluidas las interacciones repetidas con la infraestructura relacionada con Rusia, la continuidad del control en las actividades previas y posteriores a la mezcla y el uso constante de los intercambios rusos de alto riesgo como rampas de salida».
LastPass sufrió un importante hackeo en 2022, lo que permitió a los atacantes acceder a información personal de los clientes, incluidas bóvedas de contraseñas cifradas que contienen credenciales como claves privadas de criptomonedas y frases iniciales.
A principios de este mes, el servicio de gestión de contraseñas recibió una multa de 1,6 millones de dólares por parte de la Oficina del Comisionado de Información del Reino Unido (ICO) por no contar con medidas técnicas y de seguridad suficientemente sólidas para evitar el incidente.
Debido a la infracción, la compañía emitió una advertencia en ese momento de que una parte malintencionada podría utilizar técnicas de fuerza bruta para adivinar la contraseña maestra y descifrar los datos de la bóveda robados. Los últimos hallazgos de TRM Labs muestran que los ciberdelincuentes están haciendo precisamente eso.
«Las bóvedas protegidas con contraseñas maestras débiles pueden eventualmente descifrarse fuera de línea, lo que resultará en una única infracción en 2022, lo que generará una ventana de varios años para que los atacantes descifren contraseñas de forma encubierta y exfiltren activos con el tiempo», dijo la compañía.
«Debido a que los usuarios no pudieron rotar sus contraseñas ni mejorar la seguridad de sus bóvedas, los atacantes continuaron descifrando contraseñas maestras débiles años después, lo que provocó violaciones de billeteras a fines de 2025».
Los vínculos de Rusia con las criptomonedas robadas en la violación de LastPass de 2022 se deben a dos factores principales. Uno es el uso de intercambios comúnmente asociados con el ecosistema de cibercrimen ruso en el proceso de lavado, y el otro son las conexiones operativas recopiladas de billeteras que interactúan con los mezcladores antes y después del proceso de mezcla y lavado.
Se rastrearon 35 millones de dólares adicionales en activos digitales desviados, de los cuales 28 millones de dólares se convirtieron en Bitcoin y se lavaron a través de Wasabi Wallet entre finales de 2024 y principios de 2025. Se dice que otros 7 millones de dólares están relacionados con una ola posterior detectada en septiembre de 2025.
Resulta que los fondos robados fueron enviados a través de Cryptomixer.io y luego a través de Cryptex y Audia6, dos intercambios rusos vinculados a actividades ilegales. Vale la pena mencionar aquí que Cryptex fue sancionado por el Tesoro de EE. UU. en septiembre de 2024 por recibir más de 51,2 millones de dólares en fondos ilícitos obtenidos de ataques de ransomware.
El Instituto TRM dijo que a pesar de utilizar la tecnología CoinJoin para dificultar el seguimiento del flujo de fondos a observadores externos, pudo aislar la actividad, revelando retiros agrupados y desencadenamientos que canalizaron Bitcoin mezclado a dos intercambios.
«Este es un claro ejemplo de cómo una sola infracción puede convertirse en una campaña de robo de varios años», dijo Ari Redboard, jefe de política global de TRM Labs. «Incluso cuando se utilizan mezcladores, los patrones operativos, la reutilización de la infraestructura y el comportamiento de salida pueden revelar quién está realmente detrás de la actividad».
«Los intercambios rusos de alto riesgo continúan sirviendo como una importante protección contra el cibercrimen global. Este caso ilustra por qué la desmezcla y el análisis a nivel de ecosistema son ahora herramientas esenciales para la atribución y la aplicación de la ley».
Source link
