Waarschijnlijk zijn Russische cybercriminelen verantwoordelijk voor het witwassen van meer dan $35 miljoen aan crypto gestolen van LastPass-gebruikers, volgens een rapport van blockchain intelligentiefirma TRM Labs.
Uit de analyse blijkt dat de jarenlange leegloop uit crypto wallets te herleiden is tot de beveiligingsinbreuk bij wachtwoordmanager LastPass in 2022. De gestolen crypto ging via financiële infrastructuren die gelinkt zijn aan het Russische cybercriminelennetwerk.
SponsoredHoe Russische cybercriminelen de gestolen fondsen witwassen
Onderzoekers van TRM Labs ontdekten dat de aanvallers privacyprotocollen gebruikten om de geldstroom te verhullen, maar dat de fondsen uiteindelijk terechtkwamen op platforms gevestigd in Rusland.
Volgens het rapport zijn de daders doorgegaan met het wegsluizen van assets uit gehackte kluizen, zelfs nog tot eind 2025.
De cybercriminelen wasten het gestolen geld systematisch via off-ramps die Russische dreigingsactoren vaker gebruiken. Een van deze platforms was Cryptex, een exchange die momenteel is gesanctioneerd door het US Office of Foreign Assets Control (OFAC).
TRM Labs meldt dat ze een “consistente on-chain signature” hebben gevonden die de diefstallen aan één gecoördineerde groep koppelt.
De aanvallers zetten gestolen crypto die niet in Bitcoin was om naar Bitcoin via directe omwisseldiensten. Daarna verplaatsten ze het geld naar mixing-diensten zoals Wasabi Wallet en CoinJoin.
Deze diensten zijn bedoeld om munten van verschillende gebruikers bij elkaar te voegen zodat de transactiegeschiedenis ontraceerbaar wordt.
Maar toch toont het rapport een grote zwakte van deze privacytechnieken. Analisten konden de transacties ‘de-mixen’ door gedragsanalyses te doen.
Onderzoekers volgden digitale sporen, bijvoorbeeld hoe wallet-software private keys importeerde, en wisten zo het mixingproces te doorbreken. Hierdoor konden ze de digitale valuta alsnog volgen door de privacyprotocollen heen, tot aan de eindbestemming op Russische exchanges.
SponsoredNaast Cryptex wisten onderzoekers ongeveer $7 miljoen aan gestolen fondsen te herleiden naar Audi6, nog een exchange die actief is binnen het Russische cybercriminele ecosysteem.
Het rapport vermeldt dat de wallets die met de mixers werkten, ”operationele banden” met Rusland vertoonden zowel vóór als na het witwassen. Dit duidt erop dat de hackers niet alleen infrastructuur huurden, maar direct vanuit de regio opereerden.
De bevindingen onderstrepen de rol van Russische crypto-platformen bij wereldwijde cybercriminaliteit.
Door liquiditeit en uitbetalingsmogelijkheden te bieden voor gestolen digitale assets, maken deze exchanges het voor criminele groepen mogelijk om te verdienen aan datalekken en tegelijkertijd internationale wetshandhaving te ontwijken.
