TRM Labs phát hiện tấn công mạng LastPass năm 2022 dẫn đến trộm tiền điện tử

[T-800]

Theo những phát hiện mới từ TRM Labs, các bản sao lưu kho tiền điện tử được mã hóa bị đánh cắp từ vụ rò rỉ dữ liệu LastPass năm 2022 đã cho phép những kẻ xấu lợi dụng mật khẩu chính yếu để bẻ khóa và rút sạch tài sản tiền điện tử, thậm chí là vào cuối năm 2025.

Công ty tình báo blockchain cho biết bằng chứng cho thấy có sự tham gia của các đối tượng tội phạm mạng người Nga trong hoạt động này, với việc một trong những sàn giao dịch của Nga đã nhận được tiền liên quan đến LastPass gần đây nhất là vào tháng 10.

Bản đánh giá này "dựa trên toàn bộ bằng chứng trên chuỗi khối - bao gồm tương tác lặp đi lặp lại với cơ sở hạ tầng liên quan đến Nga, tính liên tục của quyền kiểm soát trong các hoạt động trước và sau khi trộn tiền, và việc sử dụng nhất quán các sàn giao dịch rủi ro cao của Nga như các lối thoát ", thông báo cho biết thêm.

Năm 2022, LastPass đã phải hứng chịu một vụ tấn công mạng nghiêm trọng cho phép tin tặc truy cập thông tin cá nhân của khách hàng, bao gồm cả kho lưu trữ mật khẩu được mã hóa chứa các thông tin xác thực như khóa riêng tư và cụm từ hạt giống của tiền điện tử.

Đầu tháng này, dịch vụ quản lý mật khẩu đã bị Văn phòng Ủy viên Thông tin Anh (ICO) phạt 1,6 triệu đô la vì không triển khai các biện pháp kỹ thuật và bảo mật đủ mạnh để ngăn chặn sự cố.

Vụ xâm phạm này cũng khiến công ty phải đưa ra cảnh báo vào thời điểm đó, cho rằng tin tặc có thể sử dụng các kỹ thuật tấn công vét cạn để đoán mật khẩu chính và giải mã dữ liệu bị đánh cắp. Những phát hiện mới nhất từ TRM Labs cho thấy tội phạm mạng đã làm được điều đó.

"Bất kỳ kho lưu trữ nào được bảo vệ bằng mật khẩu chính yếu đều có thể bị giải mã ngoại tuyến, biến một vụ xâm nhập duy nhất vào năm 2022 thành một khoảng thời gian nhiều năm để kẻ tấn công âm thầm bẻ khóa mật khẩu và rút cạn tài sản theo thời gian", công ty cho biết.

"Do người dùng không thay đổi mật khẩu hoặc tăng cường bảo mật kho tiền, tin tặc tiếp tục bẻ khóa các mật khẩu chính yếu trong nhiều năm sau đó - dẫn đến việc rút sạch tiền trong ví điện tử thậm chí đến tận cuối năm 2025."

Mối liên hệ của Nga với số tiền điện tử bị đánh cắp từ vụ rò rỉ LastPass năm 2022 xuất phát từ hai yếu tố chính: Việc sử dụng các sàn giao dịch thường liên kết với hệ sinh thái tội phạm mạng của Nga trong quy trình rửa tiền và các mối liên hệ hoạt động thu thập được từ các ví tương tác với các bộ trộn tiền cả trước và sau quá trình trộn và rửa tiền.

Hơn 35 triệu đô la tài sản kỹ thuật số bị đánh cắp đã được truy vết, trong đó 28 triệu đô la đã được chuyển đổi thành Bitcoin và rửa tiền thông qua Wasabi Wallet từ cuối năm 2024 đến đầu năm 2025. Thêm 7 triệu đô la nữa có liên quan đến làn sóng tiếp theo được phát hiện vào tháng 9 năm 2025.

Số tiền bị đánh cắp được phát hiện đã được chuyển qua   Đăng nhập để xem liên kết và chuyển ra ngoài thông qua Cryptex và Audia6, hai sàn giao dịch của Nga có liên quan đến các hoạt động bất hợp pháp. Điều đáng chú ý là Cryptex đã bị Bộ Tài chính Hoa Kỳ trừng phạt vào tháng 9 năm 2024 vì nhận hơn 51,2 triệu đô la tiền bất hợp pháp có nguồn gốc từ các cuộc tấn công mã độc tống tiền.

TRM Labs cho biết họ đã có thể tách biệt hoạt động này bất chấp việc sử dụng các kỹ thuật CoinJoin nhằm gây khó khăn hơn cho việc theo dõi dòng tiền đối với các nhà quan sát bên ngoài, phát hiện ra các giao dịch rút tiền theo cụm và các chuỗi tách rời đã chuyển Bitcoin hỗn hợp vào hai sàn giao dịch.

"Đây là một ví dụ rõ ràng về việc một vụ xâm nhập duy nhất có thể phát triển thành một chiến dịch trộm cắp kéo dài nhiều năm," Ari Redbord, người đứng đầu bộ phận chính sách toàn cầu tại TRM Labs, cho biết. "Ngay cả khi sử dụng các công cụ kết nối, các mô hình hoạt động, việc tái sử dụng cơ sở hạ tầng và hành vi thoát khỏi hệ thống vẫn có thể tiết lộ ai thực sự đứng sau hoạt động này."

"Các sàn giao dịch rủi ro cao của Nga tiếp tục đóng vai trò là những lối thoát quan trọng cho tội phạm mạng toàn cầu. Vụ việc này cho thấy tại sao việc tách bạch mã độc và phân tích ở cấp độ hệ sinh thái hiện là những công cụ thiết yếu để xác định nguồn gốc và thực thi pháp luật."