LastPass, un service utilisé pour stocker des identifiants de connexion et d’autres informations sensibles dans des coffres numériques chiffrés, a de nouveau été lié à des vols de cryptomonnaies à grande échelle découlant de son incident de sécurité de 2022. Une nouvelle analyse blockchain indique que l’infrastructure cybercriminelle russe a joué un rôle central dans le blanchiment de fonds volés pris aux utilisateurs concernés.
Les résultats concernent les pertes en cryptomonnaies subies par les utilisateurs dont les coffres de mots de passe chiffrés ont été consultés lors de la brèche. Selon des chercheurs en cybersécurité, les portefeuilles détenant des cryptomonnaies volées interagissaient à plusieurs reprises avec des services et des plateformes d’échange associés à des réseaux de cybercriminalité russophones. Cette activité a été observée sur une longue période, ce qui indique que le vol et le blanchiment de fonds ont continué bien après que l’incident initial ait été rendu public.
La violation de 2022 a permis aux attaquants d’obtenir des sauvegardes chiffrées des coffres utilisateurs. Bien que les coffres eux-mêmes aient été chiffrés, des chercheurs ont indiqué que les attaquants ont pu extraire des informations sensibles de certains comptes en piratant des mots de passe maîtres faibles. Dans les cas où les utilisateurs stockaient des phrases de départ ou des clés privées de cryptomonnaies dans leurs coffres, les attaquants ont ensuite pu accéder et vider les portefeuilles associés.
Les chercheurs ont indiqué que plus de 35 millions de dollars en cryptomonnaies liées à l’incident ont été retracés via des routes de blanchiment entre fin 2024 et 2025. Les fonds ont principalement été convertis en bitcoin et transmis via des services de mixage de cryptomonnaies conçus pour masquer l’historique des transactions. Malgré ces mesures, les analystes ont pu identifier des schémas compatibles avec une activité de blanchiment coordonnée.
Les flux de blanchiment étaient liés à des infrastructures historiquement utilisées par des groupes cybercriminels russes. Cela incluait l’utilisation de services et d’échanges mixtes apparus dans des enquêtes antérieures concernant la cybercriminalité à motivation financière. Les chercheurs ont indiqué que la réutilisation répétée des mêmes services et groupes de portefeuilles suggérait une continuité du contrôle plutôt qu’une activité criminelle sans rapport.
L’attribution de la violation initiale elle-même reste non résolue. Les chercheurs ont souligné que, bien que les preuves on-chain suggèrent une implication de réseaux criminels russes dans les phases de blanchiment et de retrait d’argent, elles n’identifient pas de manière concluante qui a mené l’intrusion initiale dans les systèmes LastPass.
Les résultats mettent en lumière l’impact à long terme des violations impliquant des données d’accréditation chiffrées. Même lorsque les informations volées ne peuvent pas être exploitées immédiatement, les attaquants peuvent continuer à extraire de la valeur des mois ou des années plus tard, notamment lorsque des contenus sensibles comme des clés de cryptomonnaie sont stockés dans des coffres de mots de passe.
Les spécialistes de la cybersécurité ont à plusieurs reprises mis en garde contre le stockage de clés privées ou de phrases de récupération pour les portefeuilles numériques dans les gestionnaires de mots de passe en ligne. Une fois révélées, ces informations ne peuvent plus être révoquées, rendant tout compromis potentiellement irréversible.
Le déplacement continu de cryptomonnaies volées des années après la violation LastPass souligne comment les incidents d’exposition de données peuvent avoir des conséquences financières durables pour les utilisateurs concernés, même lorsque l’attaque initiale semble contenue.