Attacchi di furto di criptovaluta collegati alla violazione di LastPass del 2022

La società di investigazione blockchain TRM Labs ha collegato i furti di criptovalute in corso alla violazione di LastPass avvenuta nel 2022. Secondo quanto riportato, gli aggressori hanno prosciugato i portafogli anni dopo il furto dei caveau crittografati e riciclato le risorse digitali tramite exchange russi.

Nel 2022, LastPass ha confermato che alcuni hacker avevano violato i suoi sistemi compromettendo un ambiente di sviluppo. La piattaforma ha aggiunto che i criminali avevano rubato porzioni del codice sorgente dell'azienda e informazioni tecniche proprietarie. In un altro incidente correlatodentgli hacker rubatedentper violare il servizio di cloud storage GoTo, sottraendo i backup del database di LastPass archiviati sulla piattaforma. Per alcuni utenti, il vault conteneva sia le credenziali memorizzatedentle chiavi private e le frasi di recupero dei portafogli di criptovalute.

Attacchi di furto di criptovaluta collegati alla violazione di LastPass

Durante la violazione, LastPass ha affermato che i suoi vault erano crittografati. Tuttavia, gli utenti con password master deboli o riutilizzate erano vulnerabili al cracking offline, che secondo TRM Labs è in corso da quando si è verificata la violazione. "A seconda della lunghezza e della complessità della password master e dell'impostazione del conteggio delle iterazioni, potrebbe essere necessario reimpostarla", ha avvertito LastPass quando ha reso pubblica la violazione.

Il collegamento tra le violazioni di LastPass e i furti di criptovalute è stato confermato anche dai Servizi Segreti degli Stati Uniti lo scorso anno, dopo che l'agenzia ha sequestrato oltre 23 milioni di dollari in criptovalute e ha affermato che gli aggressori avevano ottenuto le chiavi private delle vittime decrittografando i dati del vault rubati in una violazione di un gestore di password. I documenti depositati in tribunale menzionavano inoltre che non vi erano prove che i dispositivi delle vittime fossero stati compromessi tramite malware o phishing.

Nel suo rapporto, TRM Labs ha collegato il furto di criptovalute in corso all'abuso dei vault crittografati di LastPass rubati nel 2022. Invece di agire rapidamente per prosciugare l'intero portafoglio dopo la violazione, gli hacker hanno effettuato i furti a ondate, mesi o anni dopo l'dent . Il rapporto mostra inoltre che gli aggressori hanno gradualmente decrittografato i vault edtracledentmemorizzate. Inoltre, i portafogli sono stati prosciugati utilizzando metodi di transazione simili.

TRM Labs ha inoltre affermato che il metodo utilizzato durante la violazione ha dimostrato che gli hacker erano in possesso delle chiavi private prima dei furti. "Il collegamento nel rapporto non si basa sull'attribuzione diretta ai singoli account LastPass, ma sulla correlazione dell'attività on-chain a valle con il modello di impatto noto della violazione del 2022", ha affermato TRM. La piattaforma ha osservato di aver creato uno scenario in cui il portafoglio si verifica in futuro, anziché immediatamente dopo la violazione.

TRM Labs evidenzia l'utilizzo della funzionalità CoinJoin di Wasabi

La piattaforma ha anche affermato che la sua ricerca si basava inizialmente su un numero limitato di segnalazioni, tra cui diverse segnalazioni inviate a Chainabuse, in cui gli utentidentla violazione di LastPass come il metodo utilizzato dagli hacker per rubare i loro wallet. I ricercatori hanno ampliato le loro indagini,dentil comportamento delle transazioni di criptovaluta in altri casi, collegandolo infine alla campagna di furto di dati.

TRM ha inoltre aggiunto di essere riuscita a traci fondi anche dopo che gli aggressori li avevano mixati utilizzando la funzionalità CoinJoin del portafoglio Wasabi. CoinJoin è una tecnica di privacy Bitcoin che include tutte le transazioni di più utenti in un'unica transazione, rendendo più difficile determinare quale input corrisponda a quale output. La funzionalità offusca le transazioni senza utilizzare un servizio di mixaggio tradizionale.

Dopo aver svuotato i portafogli, gli hacker di solito convertono i beni rubati in Bitcoin, li instradano tramite Wasabi Wallet e tentano di nascondere le loro tracutilizzando la funzione. Tuttavia, TRM ha affermato di essere riuscita a demixare i Bitcoin inviati tramite la funzione CoinJoin analizzando caratteristiche comportamentali, come la struttura delle transazioni, la tempistica e le scelte di configurazione del portafoglio. È stata anche in grado di abbinare i depositi con modelli di prelievo che corrispondevano al furto di criptovalute.