De gecodeerde kluisback-ups die zijn gestolen tijdens de LastPass-datalek in 2022 hebben kwaadwillenden in staat gesteld misbruik te maken van zwakke hoofdwachtwoorden om ze open te breken en cryptocurrency-activa leeg te maken, zo recentelijk als eind 2025, volgens nieuwe bevindingen van TRM Labs.
Het blockchain-inlichtingenbureau zei dat bewijsmateriaal wijst op de betrokkenheid van Russische cybercriminele actoren bij de activiteit, waarbij een van de Russische beurzen pas in oktober aan LastPass gekoppelde fondsen ontving.
Deze beoordeling is “gebaseerd op het geheel van bewijsmateriaal in de keten – inclusief herhaalde interactie met aan Rusland geassocieerde infrastructuur, continuïteit van controle over pre- en post-mix-activiteiten, en het consistente gebruik van risicovolle Russische beurzen als off-ramps”, voegde het eraan toe.
LastPass kreeg in 2022 te maken met een grote hack waardoor aanvallers toegang konden krijgen tot persoonlijke informatie van zijn klanten, inclusief hun gecodeerde wachtwoordkluizen met inloggegevens, zoals privésleutels voor cryptocurrency en zaadzinnen.
Eerder deze maand kreeg de wachtwoordbeheerservice een boete van $1,6 miljoen van het Britse Information Commissioner’s Office (ICO) omdat het er niet in slaagde voldoende robuuste technische en beveiligingsmaatregelen te implementeren om het incident te voorkomen.
De inbreuk was destijds ook aanleiding voor het bedrijf om een waarschuwing te geven, waarin werd gesteld dat slechte actoren brute-force-technieken zouden kunnen gebruiken om de hoofdwachtwoorden te raden en de gestolen kluisgegevens te decoderen. De nieuwste bevindingen van TRM Labs laten zien dat de cybercriminelen precies dat hebben gedaan.
“Elke kluis die wordt beschermd door een zwak hoofdwachtwoord kan uiteindelijk offline worden gedecodeerd, waardoor een enkele inbraak in 2022 een periode van meerdere jaren kan worden waarin aanvallers stilletjes wachtwoorden kunnen kraken en activa kunnen leegmaken”, aldus het bedrijf.
“Omdat gebruikers er niet in slaagden wachtwoorden te roteren of de beveiliging van de kluis te verbeteren, bleven aanvallers jaren later zwakke hoofdwachtwoorden kraken – wat tot eind 2025 leidde tot het leeglopen van de portemonnee.”
De Russische links naar de gestolen cryptocurrency uit de LastPass-inbreuk van 2022 komen voort uit twee primaire factoren: het gebruik van uitwisselingen die gewoonlijk worden geassocieerd met het Russische cybercriminele ecosysteem in de witwaspijplijn en operationele verbindingen die zijn verkregen uit portemonnees die interactie hebben met mixers, zowel vóór als na het meng- en witwasproces.
Er is nog eens 35 miljoen dollar aan overgehevelde digitale activa getraceerd, waarvan 28 miljoen dollar werd omgezet in Bitcoin en tussen eind 2024 en begin 2025 werd witgewassen via Wasabi Wallet. Nog eens 7 miljoen dollar is gekoppeld aan een volgende golf die in september 2025 werd ontdekt.
Er is vastgesteld dat het gestolen geld via Cryptomixer.io wordt gerouteerd en wordt afgevoerd via Cryptex en Audia6, twee Russische beurzen die verband houden met illegale activiteiten. Het is de moeite waard hier te vermelden dat Cryptex in september 2024 door het Amerikaanse ministerie van Financiën werd bestraft voor het ontvangen van meer dan $ 51,2 miljoen aan illegale fondsen afkomstig van ransomware-aanvallen.
TRM Labs zei dat het in staat was om de activiteit te ontmengen ondanks het gebruik van CoinJoin-technieken om het moeilijker te maken om de geldstroom naar externe waarnemers te traceren, waardoor geclusterde opnames aan het licht kwamen en kettingen werden losgemaakt die gemengde Bitcoin naar de twee beurzen leidden.
“Dit is een duidelijk voorbeeld van hoe een enkele inbreuk kan uitgroeien tot een meerjarige diefstalcampagne”, zegt Ari Redbord, mondiaal hoofd beleid bij TRM Labs. “Zelfs wanneer mixers worden gebruikt, kunnen operationele patronen, hergebruik van infrastructuur en off-ramp-gedrag nog steeds onthullen wie er werkelijk achter de activiteit zit.”
“Russische uitwisselingen met een hoog risico blijven dienen als kritische uitlopers voor de mondiale cybercriminaliteit. Deze zaak laat zien waarom demixing en analyse op ecosysteemniveau nu essentiële instrumenten zijn voor attributie en handhaving.”
