Zaszyfrowane kopie zapasowe sejfów skradzione w wyniku włamania do LastPass z 2022 r. umożliwiły przestępcom łamanie słabych haseł głównych (master passwords) i kradzież aktywów kryptowalutowych nawet pod koniec 2025 r., wynika z najnowszego raportu firmy analitycznej TRM Labs.
TRM Labs wskazuje, że w śledzonej aktywności pojawiają się przesłanki sugerujące udział rosyjskich aktorów cyberprzestępczych — między innymi poprzez częste korzystanie z powiązanej z Rosją infrastruktury i wykorzystywanie giełd kojarzonych z tym środowiskiem jako tzw. off-rampów. Według raportu jedną z takich giełd zasiliły środki powiązane z incydentem jeszcze w październiku.
Włamanie do LastPass z 2022 r. pozwoliło napastnikom uzyskać dostęp do danych osobowych klientów, w tym do zaszyfrowanych sejfów z hasłami zawierających dane uwierzytelniające, prywatne klucze i frazy seed używane do odzyskiwania portfeli kryptowalutowych. W wyniku tamtego zdarzenia regulator Wielkiej Brytanii — Information Commissioner’s Office (ICO) — nałożył niedawno na usługodawcę grzywnę w wysokości 1,6 mln USD (ok. 6,9 mln zł) za niezadowalający poziom technicznych i organizacyjnych środków bezpieczeństwa.
Już w czasie włamania firma ostrzegała, że skradzione, zaszyfrowane sejfy mogą zostać odszyfrowane offline poprzez metody brute-force, jeśli hasła główne użytkowników będą słabe. TRM Labs potwierdza, że napastnicy skorzystali z tej możliwości: „Każdy sejf chroniony słabym hasłem głównym może ostatecznie zostać odszyfrowany offline, co przekształca pojedyncze włamanie z 2022 r. w wieloletnie okno dla atakujących, którzy po cichu łamią hasła i drenowali aktywa na przestrzeni lat.”
Firma odnotowuje, że wielu użytkowników nie zmieniło swoich haseł ani nie poprawiło zabezpieczeń sejfów, co pozwoliło przestępcom kontynuować łamanie słabych haseł i prowadziło do wypływu środków jeszcze w drugiej połowie 2025 r.
TRM Labs identyfikuje dwa główne czynniki łączące skradzione kryptowaluty z rosyjskim środowiskiem przestępczym: wykorzystywanie giełd powiązanych z rosyjskim ekosystemem do zamiany i wyprowadzania środków oraz operacyjne powiązania wynikające z interakcji portfeli z mixerami zarówno przed, jak i po procesie mieszania i prania pieniędzy.
Do tej pory zidentyfikowano ponad 35 mln USD przelanych w wyniku tego schematu (ok. 151 mln zł). Z tej kwoty około 28 mln USD (ok. 120 mln zł) zostało skonwertowane na Bitcoiny i potraktowane przez narzędzie Wasabi Wallet w okresie od końca 2024 r. do początku 2025 r., a kolejne 7 mln USD (ok. 30 mln zł) powiązano z falą operacji wykrytą we wrześniu 2025 r.
Przepływy środków prowadziły przez Cryptomixer.io, a następnie były wyprowadzone (off-ramped) za pośrednictwem giełd Cryptex i Audia6, które TRM powiązało z działalnością przestępczą. Warto przypomnieć, że Cryptex została objęta sankcjami Departamentu Skarbu USA w wrześniu 2024 r. za otrzymanie ponad 51,2 mln USD (ok. 220 mln zł) środków pochodzących z ataków ransomware.
Pomimo stosowania przez przestępców technik mających utrudnić śledzenie, takich jak CoinJoin (metoda mieszania transakcji Bitcoin w celu zaciemnienia źródła środków), analitycy TRMowi zdołali „odemiksować” aktywność. Odkryto skumulowane wypłaty i tzw. peeling chains — sekwencje przesunięć małych kwot fragmentujących większe sumy — które kierowały zmieszane Bitcoiny do dwóch wymienionych giełd.
Ari Redbord, head of policy w TRM Labs, podkreślił znaczenie takich analiz: „To wyraźny przykład, jak jedno włamanie może przekształcić się w kilkuletnią kampanię kradzieży. Nawet gdy używane są mixery, wzorce operacyjne, ponowne używanie infrastruktury i zachowania przy off-rampach mogą ujawnić, kto stoi za aktywnością.” Dodał też, że „giełdy wysokiego ryzyka powiązane z Rosją nadal pełnią kluczową rolę jako off-ramp dla globalnej cyberprzestępczości. Ten przypadek pokazuje, dlaczego demiksowanie i analiza na poziomie ekosystemu są dziś niezbędnymi narzędziami do przypisywania odpowiedzialności i egzekwowania przepisów.”
Wnioski z raportu podkreślają, że konsekwencje jednego, wcześniej zarejestrowanego wycieku mogą utrzymywać się i eskalować przez lata, zwłaszcza jeśli właściciele danych nie podejmą działań wzmacniających bezpieczeństwo swoich sejfów i haseł głównych.
