LastPass, un servizio utilizzato per memorizzare credenziali di accesso e altre informazioni sensibili in casseforti digitali criptate, è stato nuovamente collegato a furti di criptovalute su larga scala derivanti dall’incidente di sicurezza del 2022. Nuove analisi blockchain indicano che l’infrastruttura informatica russa ha avuto un ruolo centrale nel riciclaggio di fondi rubati sottratti agli utenti coinvolti.
I risultati riguardano le perdite subite da criptovalute subite dagli utenti le cui casseforti criptate con password sono state accessibili durante la violazione. Secondo i ricercatori della cybersecurity, i portafogli che detenevano criptovalute rubate interagivano ripetutamente con servizi e exchange associati a reti di criminalità informatica di lingua russa. Questa attività è stata osservata per un lungo periodo, indicando che il furto e il riciclaggio di fondi sono continuati ben dopo che l’incidente originale è diventato pubblico.
La violazione del 2022 ha permesso agli attaccanti di ottenere backup criptati dei vault degli utenti. Sebbene i vault stessi fossero criptati, i ricercatori hanno detto che gli attaccanti sono riusciti a estrarre informazioni sensibili da alcuni account decifrando password master deboli. Nei casi in cui gli utenti memorizzavano frasi seed o chiavi private di criptovalute all’interno dei loro vault, gli attaccanti sono poi riusciti ad accedere e svuotare i wallet associati.
I ricercatori hanno dichiarato che oltre 35 milioni di dollari in criptovalute collegate all’incidente sono stati rintracciati tramite rotte di riciclaggio tra la fine del 2024 e il 2025. I fondi venivano principalmente convertiti in bitcoin e passati attraverso servizi di miscelazione di criptovalute progettati per oscurare la storia delle transazioni. Nonostante queste misure, gli analisti sono riusciti a identificare modelli coerenti con attività di riciclaggio coordinata.
I flussi di riciclaggio erano collegati a infrastrutture storicamente utilizzate dai gruppi informatici russi. Ciò includeva l’uso di servizi e exchange di miscelazione che sono apparsi in indagini passate riguardanti crimini informatici motivati finanziariamente. I ricercatori hanno affermato che il riutilizzo ripetuto degli stessi servizi e cluster di portafogli suggerisce la continuità del controllo piuttosto che attività criminali non correlate.
L’attribuzione della violazione originale rimane irrisolta. I ricercatori hanno sottolineato che, sebbene le prove on-chain suggeriscano il coinvolgimento di reti criminali russe nelle fasi di riciclaggio e sconto di contanti, non identificano in modo conclusivo chi abbia effettuato l’intrusione iniziale nei sistemi LastPass.
I risultati evidenziano l’impatto a lungo termine delle violazioni che coinvolgono dati criptati sulle credenziali. Anche quando le informazioni rubate non possono essere sfruttate immediatamente, gli attaccanti possono continuare a estrarre valore mesi o anni dopo, soprattutto quando materiali sensibili come le chiavi delle criptovalute sono archiviati nei caveau delle password.
Gli specialisti della cybersecurity hanno ripetutamente avvertito di non memorizzare chiavi private o frasi di recupero per i portafogli digitali nei gestori di password online. Una volta esposte, tali informazioni non possono essere revocate, rendendo qualsiasi compromesso potenzialmente irreversibile.
Il continuo movimento di criptovalute rubate anni dopo la violazione di LastPass sottolinea come gli episodi di esposizione ai dati possano avere conseguenze finanziarie durature per gli utenti coinvolti, anche quando l’attacco originale sembra essere stato contenuto.