Russiske nettkriminelle står sannsynligvis bak hvitvaskingen av mer enn $ 35 millioner i kryptovaluta stjålet fra LastPass-brukere, ifølge en rapport fra blokkjedeanalyseselskapet TRM Labs.
Analysen koblet den flerårige tappingen av kryptolommebøker til sikkerhetsbruddet hos passordhåndtereren LastPass i 2022. Rapporten påpeker at de stjålne midlene ble ført gjennom ulovlig finansinfrastruktur knyttet til Russlands kriminelle undergrunnsmiljø på nett.
Hvordan russiske nettkriminelle hvitvasket de stjålne midlene
TRM Labs sine forskere fant at angriperne brukte personvernsprotokoller for å skjule pengestrømmen, men de sendte likevel midlene til plattformer basert i Russland.
Ifølge rapporten har gjerningspersonene fortsatt å tappe aktiva fra kompromitterte hvelv så nylig som sent i 2025.
De ondsinnede aktørene har systematisk hvitvasket de stjålne midlene gjennom off-ramper russiske trusselaktører historisk har brukt. En av disse var Cryptex, en børs som nå er sanksjonert av US Office of Foreign Assets Control (OFAC).
TRM Labs opplyser at de har identifisert en “konsistent on-chain signatur” som knytter tyveriene til én koordinert gruppe.
Angriperne konverterte gjentatte ganger aktiva som ikke var Bitcoin til Bitcoin ved hjelp av instant swap-tjenester. Midlene ble deretter flyttet til miksertjenester som Wasabi Wallet og CoinJoin.
Disse verktøyene er laget for å samle midler fra flere brukere for å forvrenge transaksjonshistorikk, noe som i teorien skal gjøre midlene umulige å spore.
Rapporten fremhever imidlertid en betydelig svakhet i disse personvernteknologiene. Analytikere klarte å “avmikse” transaksjonene ved hjelp av atferdsanalyse.
Etterforskerne fulgte spesifikke digitale spor, for eksempel hvordan lommebokprogrammet importerte private nøkler, og greide å rulle opp mikseprosessen. Dette gjorde det mulig å spore kryptovaluta gjennom personvernsprotokollene og se dens sluttdeponering på russiske børser.
I tillegg til Cryptex sporet etterforskere rundt $ 7 millioner i stjålne midler til Audi6, en annen vekslingsplattform i det russiske nettkriminelle økosystemet.
Rapporten bemerker at lommebøkene som interagerte med mikserne hadde “operasjonelle tilknytninger” til Russland både før og etter hvitvaskingsprosessen. Dette tyder på at hackerne ikke bare leide infrastruktur, men opererte direkte fra regionen.
Funnene understreker at russiske kryptoplattformer spiller en sentral rolle i å muliggjøre global nettkriminalitet.
Ved å tilby likviditet og off-ramper for stjålne digitale aktiva, gjør disse børsene det mulig for kriminelle grupper å tjene penger på datainnbrudd mens de unngår internasjonalt politi.
