Кража данных LastPass
Компания TRM Labs, занимающаяся расследованиями в сфере блокчейна, заявила, что продолжающиеся кражи криптовалюты были прослежены до взлома LastPass в 2022 году: злоумышленники опустошали кошельки спустя годы после похищения зашифрованных хранилищ и отмывали криптоактивы через российские биржи.
В 2022 году LastPass сообщила, что злоумышленники проникли в её системы, скомпрометировав среду разработки, и похитили части исходного кода компании и другую техническую информацию.
В более позднем, но связанном инциденте безопасности хакеры взломали облачную компанию GoTo, используя ранее украденные учётные данные, и похитили резервные копии баз данных LastPass, хранившиеся на этой платформе. У некоторых клиентов эти зашифрованные хранилища паролей содержали не только учётные данные, но и приватные ключи и сид-фразы криптовалютных кошельков.
Хотя хранилища были зашифрованы, пользователи со слабыми или повторно используемыми мастер-паролями были уязвимы для офлайн-взлома, который, как считается, продолжался с момента утечки.
«В зависимости от длины и сложности вашего мастер-пароля и настроек количества итераций вам, возможно, следует сбросить мастер-пароль», — предупреждала LastPass, раскрывая информацию о взломе.
Связь между взломами LastPass и кражами криптовалюты была дополнительно подтверждена Секретной службой США, которая в 2025 году изъяла более 23 миллионов долларов в криптовалюте и заявила, что злоумышленники получили приватные ключи жертв, расшифровав данные хранилищ, похищенные при взломе менеджера паролей.
В судебных документах агенты указали, что не было доказательств компрометации устройств жертв через фишинг или вредоносное ПО, и что, по их мнению, кража была связана с похищенными хранилищами паролей.
Кражи криптовалюты, связанные со взломом LastPass
В отчёте, опубликованном на прошлой неделе, TRM сообщила, что продолжающиеся атаки по краже криптовалюты были прослежены до злоупотребления зашифрованными хранилищами паролей LastPass, похищенными в 2022 году.
Вместо немедленного опустошения кошельков после взлома кражи происходили волнами — спустя месяцы или годы, что показывает, как злоумышленники постепенно расшифровывали хранилища и извлекали сохранённые учётные данные.
Пострадавшие кошельки опустошались с использованием схожих методов транзакций, при этом не было сообщений о новой атаке, что указывает на то, что у злоумышленников были приватные ключи ещё до краж.
«Связь, описанная в отчёте, основана не на прямой атрибуции к отдельным аккаунтам LastPass, а на корреляции последующей ончейн-активности с известным характером воздействия взлома 2022 года», — сообщили TRM изданию bleepingcomputer[.]
«Это создало сценарий, при котором опустошение кошельков происходило значительно позже первоначального взлома, а не сразу, и отдельными волнами».
TRM сообщила BleepingComputer, что их расследование изначально основывалось на небольшом количестве сообщений, включая обращения в Chainabuse, в которых пользователи указывали взлом LastPass как способ кражи их кошельков.
Исследователи расширили расследование, выявив поведение криптовалютных транзакций в других случаях и связав кражи с кампанией по похищению данных LastPass.
TRM также отметила, что наиболее значимой частью их исследования стала возможность отслеживать похищенные средства даже после их смешивания с использованием функции CoinJoin в кошельке Wasabi Wallet.
CoinJoin — это метод повышения конфиденциальности в сети Bitcoin, который объединяет транзакции нескольких пользователей в одну, что затрудняет определение того, какие входы соответствуют каким выходам.
Wasabi Wallet включает CoinJoin как встроенную функцию, позволяя пользователям автоматически смешивать свои биткойны с другими для запутывания транзакций без использования стороннего миксера.
После опустошения кошельков злоумышленники конвертировали похищенную криптовалюту в биткойны, пропускали их через Wasabi Wallet и пытались скрыть следы с помощью транзакций CoinJoin.
Однако TRM утверждает, что смогла «демиксировать» криптовалюту, отправленную через транзакции CoinJoin, анализируя поведенческие характеристики, такие как структура транзакций, тайминг и выбор конфигурации кошелька.
«Вместо попыток демиксировать отдельные кражи поодиночке аналитики TRM рассматривали активность как скоординированную кампанию, выявляя кластеры депозитов и выводов Wasabi с течением времени. Используя проприетарные методы демиксирования, аналитики сопоставили депозиты хакеров с конкретным кластером выводов, совокупная стоимость и время которых тесно совпадали с поступлениями — совпадение, статистически маловероятное как случайное.
Блокчейн-отпечатки, наблюдавшиеся до смешивания, в сочетании с разведданными, связанными с кошельками после процесса смешивания, последовательно указывали на операционное управление, связанное с Россией. Непрерывность между стадиями до и после смешивания усиливает уверенность в том, что отмывание средств осуществлялось участниками, действующими в рамках или тесно связанными с российской киберпреступной экосистемой».
Рассматривая кражи как скоординированную кампанию, а не отдельные компрометации, TRM смогла сопоставить группы депозитов Wasabi с шаблонами выводов, соответствующими атакам по краже криптовалюты через взлом LastPass.
Ранние выводы средств после опустошения кошельков дополнительно указывают на то, что за смешиванием стояли те же злоумышленники, которые и похитили средства.
С использованием этой методики TRM оценивает, что более 28 миллионов долларов в криптовалюте были украдены и отмыты через Wasabi Wallet в конце 2024 и начале 2025 года. Ещё 7 миллионов долларов были связаны с более поздней волной атак в сентябре 2025 года.
TRM сообщает, что средства неоднократно выводились через одни и те же биржи, связанные с Россией, включая Cryptex и Audi6, что дополнительно указывает на участие одних и тех же злоумышленников в этих взломах.
- Источник: https://www.bleepingcomputer[.]com/...theft-attacks-traced-to-2022-lastpass-breach/
Компания TRM Labs, занимающаяся расследованиями в сфере блокчейна, заявила, что продолжающиеся кражи криптовалюты были прослежены до взлома LastPass в 2022 году: злоумышленники опустошали кошельки спустя годы после похищения зашифрованных хранилищ и отмывали криптоактивы через российские биржи.
В 2022 году LastPass сообщила, что злоумышленники проникли в её системы, скомпрометировав среду разработки, и похитили части исходного кода компании и другую техническую информацию.
В более позднем, но связанном инциденте безопасности хакеры взломали облачную компанию GoTo, используя ранее украденные учётные данные, и похитили резервные копии баз данных LastPass, хранившиеся на этой платформе. У некоторых клиентов эти зашифрованные хранилища паролей содержали не только учётные данные, но и приватные ключи и сид-фразы криптовалютных кошельков.
Хотя хранилища были зашифрованы, пользователи со слабыми или повторно используемыми мастер-паролями были уязвимы для офлайн-взлома, который, как считается, продолжался с момента утечки.
«В зависимости от длины и сложности вашего мастер-пароля и настроек количества итераций вам, возможно, следует сбросить мастер-пароль», — предупреждала LastPass, раскрывая информацию о взломе.
Связь между взломами LastPass и кражами криптовалюты была дополнительно подтверждена Секретной службой США, которая в 2025 году изъяла более 23 миллионов долларов в криптовалюте и заявила, что злоумышленники получили приватные ключи жертв, расшифровав данные хранилищ, похищенные при взломе менеджера паролей.
В судебных документах агенты указали, что не было доказательств компрометации устройств жертв через фишинг или вредоносное ПО, и что, по их мнению, кража была связана с похищенными хранилищами паролей.
Кражи криптовалюты, связанные со взломом LastPass
В отчёте, опубликованном на прошлой неделе, TRM сообщила, что продолжающиеся атаки по краже криптовалюты были прослежены до злоупотребления зашифрованными хранилищами паролей LastPass, похищенными в 2022 году.
Вместо немедленного опустошения кошельков после взлома кражи происходили волнами — спустя месяцы или годы, что показывает, как злоумышленники постепенно расшифровывали хранилища и извлекали сохранённые учётные данные.
Пострадавшие кошельки опустошались с использованием схожих методов транзакций, при этом не было сообщений о новой атаке, что указывает на то, что у злоумышленников были приватные ключи ещё до краж.
«Связь, описанная в отчёте, основана не на прямой атрибуции к отдельным аккаунтам LastPass, а на корреляции последующей ончейн-активности с известным характером воздействия взлома 2022 года», — сообщили TRM изданию bleepingcomputer[.]
«Это создало сценарий, при котором опустошение кошельков происходило значительно позже первоначального взлома, а не сразу, и отдельными волнами».
TRM сообщила BleepingComputer, что их расследование изначально основывалось на небольшом количестве сообщений, включая обращения в Chainabuse, в которых пользователи указывали взлом LastPass как способ кражи их кошельков.
Исследователи расширили расследование, выявив поведение криптовалютных транзакций в других случаях и связав кражи с кампанией по похищению данных LastPass.
TRM также отметила, что наиболее значимой частью их исследования стала возможность отслеживать похищенные средства даже после их смешивания с использованием функции CoinJoin в кошельке Wasabi Wallet.
CoinJoin — это метод повышения конфиденциальности в сети Bitcoin, который объединяет транзакции нескольких пользователей в одну, что затрудняет определение того, какие входы соответствуют каким выходам.
Wasabi Wallet включает CoinJoin как встроенную функцию, позволяя пользователям автоматически смешивать свои биткойны с другими для запутывания транзакций без использования стороннего миксера.
После опустошения кошельков злоумышленники конвертировали похищенную криптовалюту в биткойны, пропускали их через Wasabi Wallet и пытались скрыть следы с помощью транзакций CoinJoin.
Однако TRM утверждает, что смогла «демиксировать» криптовалюту, отправленную через транзакции CoinJoin, анализируя поведенческие характеристики, такие как структура транзакций, тайминг и выбор конфигурации кошелька.
«Вместо попыток демиксировать отдельные кражи поодиночке аналитики TRM рассматривали активность как скоординированную кампанию, выявляя кластеры депозитов и выводов Wasabi с течением времени. Используя проприетарные методы демиксирования, аналитики сопоставили депозиты хакеров с конкретным кластером выводов, совокупная стоимость и время которых тесно совпадали с поступлениями — совпадение, статистически маловероятное как случайное.
Блокчейн-отпечатки, наблюдавшиеся до смешивания, в сочетании с разведданными, связанными с кошельками после процесса смешивания, последовательно указывали на операционное управление, связанное с Россией. Непрерывность между стадиями до и после смешивания усиливает уверенность в том, что отмывание средств осуществлялось участниками, действующими в рамках или тесно связанными с российской киберпреступной экосистемой».
Рассматривая кражи как скоординированную кампанию, а не отдельные компрометации, TRM смогла сопоставить группы депозитов Wasabi с шаблонами выводов, соответствующими атакам по краже криптовалюты через взлом LastPass.
Ранние выводы средств после опустошения кошельков дополнительно указывают на то, что за смешиванием стояли те же злоумышленники, которые и похитили средства.
С использованием этой методики TRM оценивает, что более 28 миллионов долларов в криптовалюте были украдены и отмыты через Wasabi Wallet в конце 2024 и начале 2025 года. Ещё 7 миллионов долларов были связаны с более поздней волной атак в сентябре 2025 года.
TRM сообщает, что средства неоднократно выводились через одни и те же биржи, связанные с Россией, включая Cryptex и Audi6, что дополнительно указывает на участие одних и тех же злоумышленников в этих взломах.
- Источник: https://www.bleepingcomputer[.]com/...theft-attacks-traced-to-2022-lastpass-breach/