Компания TRM Labs, специализирующаяся на расследовании в сфере блокчейна, связала продолжающиеся кражи криптовалюты с утечкой данных LastPass, произошедшей в 2022 году. Согласно сообщениям, злоумышленники опустошали кошельки спустя годы после кражи зашифрованных хранилищ и отмывали цифровые активы через российские биржи.
скомпрометировав среду разработки. Платформа добавила, что преступники украли часть исходного кода компании и конфиденциальную техническую информацию. В другом связанном инцидентеdentиспользовали , украденныеdentdentdentdentdentdentdentdentdent, так и закрытые ключи криптовалютных кошельков и сид-фразы.
Атаки с целью кражи криптовалюты связаны с утечкой данных LastPass
Во время взлома LastPass утверждала, что ее хранилища были зашифрованы. Однако пользователи со слабыми или повторно используемыми мастер-паролями были уязвимы для взлома в автономном режиме, который, по мнению TRM Labs, продолжается с момента взлома. «В зависимости от длины и сложности вашего мастер-пароля и количества итераций, возможно, вам стоит сбросить свой мастер-пароль», — предупредила LastPass, сообщив о взломе.
Связь , как агентство изъяло криптовалюту на сумму более 23 миллионов долларов и заявило, что злоумышленники получили закрытые ключи своих жертв, расшифровав данные хранилища, украденные в результате взлома менеджера паролей. В судебных документах также упоминалось, что нет доказательств того, что устройства жертв были скомпрометированы вредоносным ПО или фишингом.
В своем отчете TRM Labs связала продолжающиеся кражи криптовалюты со злоупотреблением зашифрованными хранилищами LastPass, украденными в 2022 году. Вместо того чтобы хакеры быстро опустошили все кошельки после взлома, кражи совершались волнами, спустя месяцы или годы послеdent . В отчете также показано, что злоумышленники постепенно расшифровывали хранилища иtracхранящиесяdentданные. Кроме того, опустошение кошельков осуществлялось с использованием аналогичных методов транзакций.
TRM Labs также упомянула, что метод, использованный во время взлома, показал, что хакеры обладали закрытыми ключами до кражи. «Связь в отчете основана не на прямой привязке к отдельным учетным записям LastPass, а на сопоставлении активности в блокчейне с известной схемой воздействия взлома 2022 года», — заявила TRM. Платформа отметила, что создала сценарий, в котором кошелек появляется в будущем, а не сразу после взлома.
Компания TRM Labs демонстрирует возможности функции CoinJoin от Wasabi
Платформа также упомянула, что ее исследование первоначально основывалось на небольшом количестве сообщений, включая несколько заявок, отправленных на Chainabuse, где пользователиdentна взлом LastPass как на метод, который хакеры использовали для кражи их кошельков. Исследователи расширили свое расследование,dentособенности поведения криптовалютных транзакций в других случаях, в конечном итоге связав их с кампанией по краже данных.
TRM также добавила, что смогла tracсредства даже после того, как злоумышленники смешали их, используя функцию CoinJoin в кошельке Wasabi. CoinJoin — это технология обеспечения конфиденциальности Bitcoin , которая объединяет все транзакции от нескольких пользователей в одну, что затрудняет определение того, какой вход соответствует какому выходу. Эта функция скрывает транзакции без использования традиционного сервиса смешивания.
После опустошения кошельковхакеры обычно конвертируют украденные активы в BitcoinBitcoinBitcoin BitcoinBitcointrac, используя эту функцию. Однако TRM упомянула, что ей удалось разделить BitcoinBitcoin BitcoinBitcoin отправленные с помощью функции CoinJoin, путем анализа поведенческих характеристик, таких как структура транзакций, время и параметры конфигурации кошелька. Она также смогла сопоставить депозиты с моделями вывода средств, которые соответствовали краже криптовалюты.
