Rosyjscy cyberprzestępcy prawdopodobnie odpowiadają za pranie ponad 35 mln USD w kryptowalutach, które zostały skradzione użytkownikom LastPass. Tak mówi raport firmy analitycznej blockchain TRM Labs.
Analiza dostrzega związek między wieloletnim kradzieżą z portfeli kryptowalutowych a włamaniem do menedżera haseł LastPass w 2022 roku. Ukradzione środki przepływały przez nielegalne struktury finansowe związane z rosyjską sceną cyberprzestępczą.
Jak rosyjscy cyberprzestępcy piorą skradzione pieniądze
Badacze z TRM Labs odkryli, że sprawcy korzystali z protokołów ochrony prywatności, aby ukryć ślady finansowe. Mimo to, przekazali pieniądze na platformy w Rosji.
Według raportu sprawcy nadal kradli aktywa z zhakowanych sejfów – jeszcze pod koniec 2025.
Napastnicy systematycznie prali skradzione fundusze za pomocą dróg, które rosyjscy hakerzy już wcześniej wykorzystywali. Jedną z tych platform był Cryptex, DEX, który obecnie jest sankcjonowany przez amerykański Urząd Kontroli Aktywów Zagranicznych (OFAC).
TRM Labs wyjaśniło, że znaleźli „stały podpis on-chain”, który łączy kradzieże z jedną, zorganizowaną grupą.
Napastnicy wielokrotnie wymieniali aktywa inne niż Bitcoin na Bitcoin – przy użyciu usług wymiany natychmiastowej. Pieniądze trafiły następnie do usług mieszających, takich jak Wasabi Wallet i CoinJoin.
Takie narzędzia mają na celu mieszanie pieniędzy od wielu użytkowników, aby historia transakcji była nieczytelna i nie do śledzenia.
Raport pokazuje jednak, że istnieje ważna luka w tych technologiach ochrony prywatności. Analitycy mogli monitorować transakcje, wykorzystując analizę zachowań i „odmieszanie”.
Śledczy śledzili na przykład, jak oprogramowanie portfela importowało klucze prywatne, co pozwoliło im prześledzić proces mieszania. Tak więc kryptowaluty można było śledzić przez protokoły ochrony prywatności aż do rosyjskich giełd.
Obok Cryptex, śledczy znaleźli około 7 mln USD skradzionych funduszy w Audi6, kolejnej usłudze wymiany w rosyjskiej scenie cyberprzestępczości.
Raport wskazuje również, że portfele, które miały kontakt z mixerami, miały „operacyjne powiązania” z Rosją – przed i po praniu pieniędzy. Oznacza to, że hakerzy korzystali z infrastruktury nie tylko, ale działali bezpośrednio z regionu.
Wyniki pokazują, że rosyjskie platformy kryptograficzne odgrywają ważną rolę w globalnej cyberprzestępczości.
Ponieważ oferują płynność i możliwości wypłaty skradzionych aktywów cyfrowych, grupy przestępcze mogą zamieniać wycieki danych w pieniądze, omijając jednocześnie międzynarodowych śledczych.
