La firma de investigación blockchain TRM Labs ha vinculado los continuos robos de criptomonedas con la brecha de LastPass ocurrida en 2022. Según informes, los atacantes han estado vaciando billeteras años después de que se robaran bóvedas cifradas y blanqueando los activos digitales a través de intercambios rusos.
En 2022, LastPass confirmó que unos atacantes habían vulnerado sus sistemas comprometiendo un entorno de desarrollo. La plataforma añadió que los delincuentes robaron partes del código fuente de la empresa e información técnica confidencial. En otro incidente relacionadodentlos hackers utilizaron lasdentdentdentdentdentdentdentdentdentclaves privadas y frases semilla de monederos de criptomonedas.
Ataques de robo de criptomonedas vinculados a la violación de LastPass
Durante la brecha, LastPass afirmó que sus bóvedas estaban cifradas. Sin embargo, los usuarios con contraseñas maestras débiles o reutilizadas eran vulnerables al descifrado sin conexión, algo que, según TRM Labs, ha ocurrido desde que ocurrió la brecha. "Dependiendo de la longitud y la complejidad de su contraseña maestra y de la configuración del número de iteraciones, es posible que desee restablecerla", advirtió LastPass al revelar la brecha.
El vínculo entre las filtraciones de LastPass y los robos de criptomonedas fue confirmado el año pasado por el Servicio Secreto de Estados Unidos, tras incautar más de 23 millones de dólares en criptomonedas y afirmar que los atacantes habían obtenido las claves privadas de sus víctimas descifrando datos de bóvedas robados en una filtración de un gestor de contraseñas. En los documentos judiciales también se menciona que no había pruebas de que los dispositivos de las víctimas hubieran sido comprometidos mediante malware o phishing.
En su informe, TRM Labs relacionó el robo continuo de criptomonedas con el uso indebido de las bóvedas cifradas de LastPass robadas en 2022. En lugar de que los hackers actuaran con rapidez para vaciar completamente las billeteras tras la brecha, los robos se han llevado a cabo en oleadas, meses o años después deldent . También muestra que los atacantes han ido descifrando gradualmente las bóvedas ytraclasdentalmacenadas. Además, las billeteras fueron vaciadas mediante métodos de transacción similares.
TRM Labs también mencionó que el método empleado durante la brecha de seguridad demostró que los hackers poseían las claves privadas antes de los robos. "La vinculación en el informe no se basa en la atribución directa a cuentas individuales de LastPass, sino en la correlación de la actividad posterior en la cadena con el patrón de impacto conocido de la brecha de seguridad de 2022", declaró TRM. La plataforma señaló que creó un escenario en el que la billetera aparece en el futuro, en lugar de inmediatamente después de la brecha de seguridad.
TRM Labs destaca el uso de la función CoinJoin de Wasabi
La plataforma también mencionó que su investigación se basó inicialmente en un pequeño número de informes, incluyendo varios enviados a Chainabuse, donde los usuariosdentla filtración de LastPass como el método que los hackers utilizaron para robar sus billeteras. Los investigadores ampliaron su investigación,dentel comportamiento de las transacciones de criptomonedas en otros casos, y finalmente lo vincularon con la campaña de robo de datos.
TRM también añadió que pudo traclos fondos electrónicos incluso después de que los atacantes los combinaran mediante la función CoinJoin de la billetera Wasabi. CoinJoin es una técnica de privacidad Bitcoin que integra todas las transacciones de varios usuarios en una sola, lo que dificulta determinar qué entrada corresponde a qué salida. Esta función ofusca las transacciones sin utilizar un servicio de mezcla tradicional.
Tras vaciar las carteras, los hackers suelen convertir los activos robados a BitcoinBitcoinBitcoin BitcoinBitcointracutilizando esta función. Sin embargo, TRM mencionó que pudo separar los BitcoinBitcoin BitcoinBitcoin enviados mediante la función CoinJoin analizando características de comportamiento como la estructura de la transacción, el momento de la transacción y las opciones de configuración de la cartera. También pudo relacionar los depósitos con los patrones de retiro que coincidían con el robo de criptomonedas.
