Las copias de seguridad cifradas de la bóveda robadas durante la filtración de datos de LastPass de 2022 han permitido a los delincuentes aprovechar contraseñas maestras débiles para abrirlas y drenar los activos de criptomonedas a finales de 2025, según nuevos hallazgos de TRM Labs.
La empresa de inteligencia blockchain dicho La evidencia apunta a la participación de actores cibercriminales rusos en la actividad, y uno de los intercambios rusos recibió fondos vinculados a LastPass en octubre.
Esta evaluación se «basa en la totalidad de la evidencia en cadena, incluida la interacción repetida con la infraestructura asociada a Rusia, la continuidad del control en las actividades previas y posteriores a la combinación y el uso constante de intercambios rusos de alto riesgo como rampas de salida«, añadió.
último pase sufrió un importante hack en 2022 que permitió a los atacantes acceder a información personal de sus clientes, incluidas sus bóvedas de contraseñas cifradas que contienen credenciales, como claves privadas de criptomonedas y frases iniciales.
A principios de este mes, el servicio de gestión de contraseñas fue multada con 1,6 millones de dólares por la Oficina del Comisionado de Información del Reino Unido (ICO) por no implementar medidas técnicas y de seguridad suficientemente sólidas para prevenir el incidente.
La violación también llevó a la compañía a emitir una advertencia en ese momento, indicando que los delincuentes pueden usar técnicas de fuerza bruta para adivinar las contraseñas maestras y descifrar los datos de la bóveda robados. Los últimos hallazgos de TRM Labs muestran que los ciberdelincuentes han hecho precisamente eso.
«Cualquier bóveda protegida por una contraseña maestra débil podría eventualmente descifrarse fuera de línea, convirtiendo una única intrusión en 2022 en una ventana de varios años para que los atacantes descifren silenciosamente contraseñas y agoten activos con el tiempo», dijo la compañía.
«Como los usuarios no rotaron las contraseñas ni mejoraron la seguridad de la bóveda, los atacantes continuaron descifrando contraseñas maestras débiles años después, lo que provocó un drenaje de billeteras a finales de 2025».
Los vínculos rusos con la criptomoneda robada de la violación de LastPass de 2022 se derivan de dos factores principales: el uso de intercambios comúnmente asociados con el ecosistema cibercriminal ruso en el proceso de lavado y las conexiones operativas obtenidas de las billeteras que interactúan con los mezcladores antes y después del proceso de mezcla y lavado.
Se han rastreado más 35 millones de dólares en activos digitales desviados, de los cuales 28 millones se convirtieron en Bitcoin y se lavaron a través de Wasabi Wallet entre finales de 2024 y principios de 2025. Otros 7 millones de dólares se han vinculado a una ola posterior detectada en septiembre de 2025.
Se descubrió que los fondos robados se enrutaban a través de Cryptomixer.io y salían a través de Cryptex y Audia6, dos intercambios rusos asociados con actividades ilícitas. Vale la pena mencionar aquí que Cryptex fue sancionado por el Departamento del Tesoro de EE. UU. en septiembre de 2024 por recibir más de 51,2 millones de dólares en fondos ilícitos derivados de ataques de ransomware.
TRM Labs dijo que pudo desmezclar la actividad a pesar del uso de Unirse a monedas técnicas para dificultar el seguimiento del flujo de fondos a los observadores externos, descubriendo retiros agrupados y pelar cadenas eso canalizó Bitcoin mezclado hacia los dos intercambios.
«Este es un claro ejemplo de cómo una única infracción puede convertirse en una campaña de robo de varios años», dijo Ari Redbord, jefe global de políticas de TRM Labs. «Incluso cuando se utilizan mezcladores, los patrones operativos, la reutilización de la infraestructura y el comportamiento de salida pueden revelar quién está realmente detrás de la actividad».
«Los intercambios rusos de alto riesgo continúan sirviendo como rampas de salida críticas para el cibercrimen global. Este caso muestra por qué la desmezcla y el análisis a nivel de ecosistema son ahora herramientas esenciales para la atribución y la aplicación de la ley».
Fuente