Attaques de vol de cryptomonnaies liées à la faille de sécurité de LastPass de 2022

La société d'investigation blockchain TRM Labs a établi un lien entre les vols de cryptomonnaies en cours et la faille de sécurité de LastPass survenue en 2022. Selon les rapports, les attaquants vident les portefeuilles des années après le vol des coffres-forts chiffrés et blanchissent les actifs numériques via des plateformes d'échange russes.

En 2022, LastPass a confirmé qu'un piratage avait compromis son environnement de développement. La plateforme a ajouté que les criminels avaient dérobé une partie du code source et des informations techniques confidentielles. Dans un autre incident connexedentles pirates volésdentpour s'introduire dans le système de stockage cloud GoTo et dérober les sauvegardes de la base de données LastPass stockées sur la plateforme. Pour certains utilisateurs, le coffre-fort contenait à la fois desdentet des clés privées de portefeuilles de cryptomonnaies, ainsi que leurs phrases de récupération.

Attaques de vol de cryptomonnaie liées à une faille de sécurité chez LastPass

Lors de la faille de sécurité, LastPass a affirmé que ses coffres-forts étaient chiffrés. Cependant, les utilisateurs dont le mot de passe principal était faible ou réutilisé étaient vulnérables au piratage hors ligne, une pratique qui, selon TRM Labs, se poursuit depuis la fuite. « En fonction de la longueur et de la complexité de votre mot de passe principal, ainsi que du nombre d'itérations, il est conseillé de le réinitialiser », a averti LastPass lors de la divulgation de la faille.

Le lien entre les failles de sécurité de LastPass et les vols de cryptomonnaies a également été confirmé l'an dernier par les services secrets américains, après la saisie de plus de 23 millions de dollars en cryptomonnaies. Ces derniers ont indiqué que les pirates avaient obtenu les clés privées de leurs victimes en déchiffrant des données volées lors d'une faille de sécurité dans un gestionnaire de mots de passe. Les documents judiciaires précisent également qu'aucune preuve n'indique que les appareils des victimes aient été compromis par un logiciel malveillant ou par hameçonnage.

Dans son rapport, TRM Labs établit un lien entre le vol de cryptomonnaies en cours et l'exploitation des coffres-forts chiffrés LastPass dérobés en 2022. Plutôt que de vider immédiatement l'intégralité des portefeuilles après la brèche, les pirates ont procédé par vagues successives, des mois voire des années après l'dent . Le rapport montre également que les attaquants ont progressivement déchiffré les coffres-forts ettraclesdentstockés. De plus, les portefeuilles ont été vidés à l'aide de méthodes de transaction similaires.

TRM Labs a également indiqué que la méthode utilisée lors de la violation de données montrait que les pirates possédaient les clés privées avant les vols. « Le lien établi dans le rapport ne repose pas sur une attribution directe à des comptes LastPass individuels, mais sur la corrélation de l'activité en aval sur la blockchain avec le schéma d'impact connu de la violation de 2022 », a précisé TRM. La plateforme a souligné avoir créé un scénario dans lequel le portefeuille apparaît dans le futur, et non immédiatement après la violation.

TRM Labs met en avant l'utilisation de la fonctionnalité CoinJoin de Wasabi

La plateforme a également indiqué que ses recherches s'appuyaient initialement sur un petit nombre de signalements, dont plusieurs soumis à Chainabuse, où des utilisateursdentidentifié la faille de sécurité de LastPass comme la méthode utilisée par les pirates pour dérober leurs portefeuilles. Les chercheurs ont ensuite approfondi leurs investigations,dentdes comportements similaires lors de transactions en cryptomonnaie dans d'autres cas, et établissant finalement un lien avec la campagne de vol de données.

TRM a également indiqué avoir pu tracles fonds même après que les attaquants les aient mélangés à l'aide de la fonctionnalité CoinJoin du portefeuille Wasabi. CoinJoin est une technique de confidentialité Bitcoin qui regroupe toutes les transactions de plusieurs utilisateurs en une seule, rendant plus difficile l'identification des transactions. Cette fonctionnalité masque les transactions sans recourir à un service de mixage traditionnel.

Après avoir vidé les portefeuilles, les pirates convertissent généralement les actifs volés en Bitcoin, les font transiter par Wasabi Wallet et tentent d'effacer leurs tracgrâce à cette fonctionnalité. Cependant, TRM a indiqué avoir pu démixer les Bitcoin envoyés via CoinJoin en analysant des caractéristiques comportementales telles que la structure des transactions, leur horaire et les options de configuration du portefeuille. L'entreprise a également pu faire correspondre les dépôts à des schémas de retrait correspondant au vol de cryptomonnaies.