LastPass, ein Dienst zur Speicherung von Zugangsdaten und anderen sensiblen Informationen in verschlüsselten digitalen Tresoren, wurde erneut mit groß angelegten Kryptowährungsdiebstählen infolge des Sicherheitsvorfalls von 2022 in Verbindung gebracht. Neue Blockchain-Analysen zeigen, dass die russische cyberkriminelle Infrastruktur eine zentrale Rolle bei der Geldwäsche gestohlener Gelder von betroffenen Nutzern spielte.
Die Ergebnisse beziehen sich auf Kryptowährungsverluste, die Nutzer erlitten, deren verschlüsselte Passworttresore während des Einbruchs zugänglich waren. Laut Cybersicherheitsforschern interagierten Wallets mit gestohlenen Kryptowährungen wiederholt mit Diensten und Börsen, die mit russischsprachigen Cyberkriminalitätsnetzwerken verbunden sind. Diese Aktivität wurde über einen längeren Zeitraum beobachtet, was darauf hindeutet, dass der Diebstahl und die Geldwäsche noch lange nach der Öffentlichkeit des ursprünglichen Vorfalls fortgesetzt wurden.
Der Vorfall von 2022 ermöglichte es Angreifern, verschlüsselte Backups von Benutzertresoren zu erhalten. Obwohl die Tresore selbst verschlüsselt waren, haben Forscher berichtet, dass Angreifer sensible Informationen aus einigen Konten extrahieren konnten, indem sie schwache Master-Passwörter knackten. In Fällen, in denen Nutzer Kryptowährungs-Seed-Phrasen oder private Schlüssel in ihren Tresoren lagerten, konnten Angreifer später auf zugehörige Wallets zugreifen und diese entleeren.
Forscher berichteten, dass mehr als 35 Millionen US-Dollar in Kryptowährungen, die mit dem Vorfall in Verbindung stehen, zwischen Ende 2024 und 2025 über Waschwege nachverfolgt wurden. Die Gelder wurden hauptsächlich in Bitcoin umgewandelt und über Kryptowährungsmischdienste weitergeleitet, die darauf ausgelegt waren, Transaktionsgeschichten zu verschleiern. Trotz dieser Maßnahmen konnten Analysten Muster erkennen, die mit koordinierten Geldwäscheaktivitäten übereinstimmen.
Die Geldwäscheströme standen im Zusammenhang mit Infrastruktur, die historisch von russischen Cyberkriminellen genutzt wurde. Dazu gehörte die Nutzung von Mischdiensten und Austauschen, die in früheren Untersuchungen zu finanziell motivierter Cyberkriminalität aufgetaucht sind. Forscher sagten, dass die wiederholte Wiederverwendung derselben Dienste und Wallet-Cluster auf eine Kontinuität der Kontrolle und nicht auf unabhängige kriminelle Aktivitäten hindeute.
Die Zuschreibung des ursprünglichen Verstoßes selbst bleibt ungelöst. Forscher betonten, dass die On-Chain-Beweise zwar auf eine Beteiligung russischer krimineller Netzwerke an den Phasen der Geldwäsche und Cash-out hindeuten, aber nicht eindeutig identifizieren, wer den ursprünglichen Einbruch in LastPass-Systeme durchgeführt hat.
Die Ergebnisse heben die langfristigen Auswirkungen von Sicherheitsverletzungen mit verschlüsselten Zugangsdaten hervor. Selbst wenn gestohlene Informationen nicht sofort ausgenutzt werden können, können Angreifer Monate oder Jahre später weiterhin Werte extrahieren, insbesondere wenn sensibles Material wie Kryptoschlüssel in Passwort-Tresoren gespeichert wird.
Cybersicherheitsspezialisten haben wiederholt davor gewarnt, private Schlüssel oder Wiederherstellungsphrasen für digitale Geldbörsen in Online-Passwortmanagern zu speichern. Sobald diese Informationen offengelegt sind, können sie nicht widerrufen werden, sodass jeder Kompromiss potenziell irreversibel ist.
Die fortgesetzte Bewegung gestohlener Kryptowährungen Jahre nach dem LastPass-Verstoß unterstreicht, wie Datenexponierungsvorfälle nachhaltige finanzielle Folgen für betroffene Nutzer haben können, selbst wenn der ursprüngliche Angriff scheinbar eingedämmt ist.