Атаки с целью кражи криптовалюты связаны с утечкой данных LastPass в 2022 году

Компания TRM Labs, специализирующаяся на расследовании в сфере блокчейна, связала продолжающиеся кражи криптовалюты с утечкой данных LastPass, произошедшей в 2022 году. Согласно сообщениям, злоумышленники опустошали кошельки спустя годы после кражи зашифрованных хранилищ и отмывали цифровые активы через российские биржи.

В 2022 году LastPass подтвердила, что злоумышленники взломали её системы , скомпрометировав среду разработки. Платформа добавила, что преступники украли часть исходного кода компании и конфиденциальную техническую информацию. В другом связанном инцидентеdentиспользовали украденныеdentданные для взлома облачного хранилища GoTo, украв резервные копии базы данных LastPass, хранящиеся на платформе. У некоторых пользователей хранилище содержало как сохраненные учетныеdent, так и закрытые ключи криптовалютных кошельков и сид-фразы.

Атаки с целью кражи криптовалюты связаны с утечкой данных LastPass

Во время взлома LastPass утверждала, что ее хранилища были зашифрованы. Однако пользователи со слабыми или повторно используемыми мастер-паролями были уязвимы для взлома в автономном режиме, который, по мнению TRM Labs, продолжается с момента взлома. «В зависимости от длины и сложности вашего мастер-пароля и количества итераций, возможно, вам стоит сбросить свой мастер-пароль», — предупредила LastPass, сообщив о взломе.

Связь , как агентство изъяло криптовалюту на сумму более 23 миллионов долларов и заявило, что злоумышленники получили закрытые ключи своих жертв, расшифровав данные хранилища, украденные в результате взлома менеджера паролей. В судебных документах также упоминалось, что нет доказательств того, что устройства жертв были скомпрометированы вредоносным ПО или фишингом.

В своем отчете TRM Labs связала продолжающиеся кражи криптовалюты со злоупотреблением зашифрованными хранилищами LastPass, украденными в 2022 году. Вместо того чтобы хакеры быстро опустошили все кошельки после взлома, кражи совершались волнами, спустя месяцы или годы послеdent . В отчете также показано, что злоумышленники постепенно расшифровывали хранилища иtracхранящиесяdentданные. Кроме того, опустошение кошельков осуществлялось с использованием аналогичных методов транзакций.

TRM Labs также упомянула, что метод, использованный во время взлома, показал, что хакеры обладали закрытыми ключами до кражи. «Связь в отчете основана не на прямой привязке к отдельным учетным записям LastPass, а на сопоставлении активности в блокчейне с известной схемой воздействия взлома 2022 года», — заявила TRM. Платформа отметила, что создала сценарий, в котором кошелек появляется в будущем, а не сразу после взлома.

Компания TRM Labs демонстрирует возможности функции CoinJoin от Wasabi

Платформа также упомянула, что ее исследование первоначально основывалось на небольшом количестве сообщений, включая несколько заявок, отправленных на Chainabuse, где пользователиdentна взлом LastPass как на метод, который хакеры использовали для кражи их кошельков. Исследователи расширили свое расследование,dentособенности поведения криптовалютных транзакций в других случаях, в конечном итоге связав их с кампанией по краже данных.

TRM также добавила, что смогла tracсредства даже после того, как злоумышленники смешали их, используя функцию CoinJoin в кошельке Wasabi. CoinJoin — это технология обеспечения конфиденциальности Bitcoin , которая объединяет все транзакции от нескольких пользователей в одну, что затрудняет определение того, какой вход соответствует какому выходу. Эта функция скрывает транзакции без использования традиционного сервиса смешивания.

После опустошения кошельковхакеры обычно конвертируют украденные активы в Bitcoin, проводят их через Wasabi Wallet и пытаются скрыть свои trac, используя эту функцию. Однако TRM упомянула, что ей удалось разделить Bitcoin отправленные с помощью функции CoinJoin, путем анализа поведенческих характеристик, таких как структура транзакций, время и параметры конфигурации кошелька. Она также смогла сопоставить депозиты с моделями вывода средств, которые соответствовали краже криптовалюты.