Kryptowährungsdiebstähle stehen im Zusammenhang mit dem LastPass-Datenleck von 2022

Das Blockchain-Ermittlungsunternehmen TRM Labs hat die anhaltenden Kryptowährungsdiebstähle mit dem LastPass-Datendiebstahl von 2022 in Verbindung gebracht. Berichten zufolge plündern die Angreifer noch Jahre nach dem Diebstahl verschlüsselter Datenspeicher Wallets und waschen die digitalen Vermögenswerte über russische Börsen.

Im Jahr 2022 bestätigte LastPass, dass Angreifer durch die Kompromittierung einer Entwicklerumgebung in seine Systeme eingedrungen waren. Die Plattform gab außerdem bekannt, dass die Kriminellen Teile des Quellcodes und firmeneigene technische Informationen gestohlen hatten. In einem weiteren, damit zusammenhängenden Vorfalldentdie Hacker die gestohlenendent, um in das Cloud-Speicherunternehmen GoTo einzudringen und auf der Plattform gespeicherte LastPass-Datenbanksicherungen zu stehlen. Bei einigen Nutzern enthielt der Tresor sowohl gespeicherte Zugangsdatendentauch private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets.

Kryptowährungsdiebstähle im Zusammenhang mit LastPass-Sicherheitslücke

Zum Zeitpunkt des Datenlecks behauptete LastPass, seine Tresore seien verschlüsselt. Nutzer mit schwachen oder wiederverwendeten Master-Passwörtern waren jedoch anfällig für Offline-Angriffe, die laut TRM Labs seit dem Vorfall andauern. „Je nach Länge und Komplexität Ihres Master-Passworts sowie der eingestellten Anzahl an Wiederholungen sollten Sie Ihr Master-Passwort gegebenenfalls zurücksetzen“, warnte LastPass bei Bekanntgabe des Datenlecks.

Der Zusammenhang zwischen den LastPass-Sicherheitsvorfällen und den Kryptowährungsdiebstählen wurde letztes Jahr auch vom US-Geheimdienst bestätigt, nachdem dieser Kryptowährungen im Wert von über 23 Millionen US-Dollar beschlagnahmt hatte. Die Angreifer hatten die privaten Schlüssel ihrer Opfer durch die Entschlüsselung von Tresordaten erlangt, die bei einem Passwortmanager-Angriff gestohlen worden waren. Aus Gerichtsakten geht außerdem hervor, dass es keine Hinweise darauf gibt, dass die Geräte der Opfer durch Schadsoftware oder Phishing kompromittiert wurden.

In ihrem Bericht stellt TRM Labs einen Zusammenhang zwischen den anhaltenden Kryptodiebstählen und dem Missbrauch der 2022 gestohlenen, verschlüsselten LastPass-Wallets her. Anstatt die Wallets nach dem Einbruch schnell und vollständig zu leeren, erfolgten die Diebstähle wellenartig, Monate oder Jahre nach demdent . Der Bericht zeigt auch, dass Angreifer die Wallets schrittweise entschlüsselt und die gespeichertendenttrachaben. Zudem wurden die Wallets mit ähnlichen Transaktionsmethoden geleert.

TRM Labs erwähnte außerdem, dass die beim Datenleck angewandte Methode darauf hindeutet, dass die Hacker bereits vor dem Diebstahl im Besitz der privaten Schlüssel waren. „Die im Bericht hergestellte Verbindung basiert nicht auf einer direkten Zuordnung zu einzelnen LastPass-Konten, sondern auf der Korrelation der nachgelagerten On-Chain-Aktivitäten mit dem bekannten Wirkungsmuster des Datenlecks von 2022“, so TRM. Die Plattform merkte an, dass sie ein Szenario erstellt habe, in dem der Wallet-Befall erst in der Zukunft auftritt, anstatt unmittelbar nach dem Datenleck.

TRM Labs hebt die Verwendung der CoinJoin-Funktion von Wasabi hervor

Die Plattform gab außerdem an, dass ihre Forschung zunächst auf einer geringen Anzahl von Berichten basierte, darunter mehrere Meldungen an Chainabuse, in denen Nutzer den LastPass-Datendiebstahl als Methodedent, mit der die Hacker ihre Wallets gestohlen hatten. Die Forscher weiteten ihre Untersuchung aus unddentdas Transaktionsverhalten von Kryptowährungen in weiteren Fällen, wodurch sie schließlich einen Zusammenhang mit der Datendiebstahlkampagne herstellten.

TRM fügte hinzu, dass es die Gelder selbst dann trackonnte, nachdem die Angreifer sie mithilfe der CoinJoin-Funktion der Wasabi-Wallet vermischt hatten. CoinJoin ist eine Bitcoin Datenschutztechnik, die alle Transaktionen mehrerer Nutzer zu einer einzigen Transaktion zusammenfasst und es so erschwert, die Zuordnung von Eingabe und Ausgabe zu bestimmen. Die Funktion verschleiert Transaktionen, ohne einen herkömmlichen Mixing-Dienst zu verwenden.

Nach dem Plündern von Walletstauschen Hacker die gestohlenen Vermögenswerte üblicherweise in Bitcoin, leiten diese über die Wasabi Wallet und versuchen, ihre tracentmischen zu können Bitcoin . Zudem gelang es, Einzahlungen mit Auszahlungsmustern abzugleichen, die dem Kryptodiebstahl entsprachen.