LastPass, een dienst die wordt gebruikt om inloggegevens en andere gevoelige informatie op te slaan in versleutelde digitale kluizen, is opnieuw in verband gebracht met grootschalige diefstallen van cryptovaluta die voortvloeien uit het beveiligingsincident van 2022. Nieuwe blockchain-analyse geeft aan dat de Russische cybercriminele infrastructuur een centrale rol speelde bij het witwassen van gestolen gelden die van getroffen gebruikers werden genomen.
De bevindingen hebben betrekking op cryptocurrencyverliezen die gebruikers leden van wie de versleutelde wachtwoordkluizen tijdens de inbreuk zijn benaderd. Volgens cybersecurityonderzoekers hebben wallets met gestolen cryptocurrency herhaaldelijk contact gehad met diensten en beurzen die verbonden zijn aan Russischtalige cybercrimenetwerken. Deze activiteit werd over een langere periode waargenomen, wat aangeeft dat de diefstal en het witwassen van geld doorgingen lang nadat het oorspronkelijke incident openbaar werd.
De inbreuk van 2022 stelde aanvallers in staat om versleutelde back-ups van gebruikerskluizen te verkrijgen. Hoewel de kluizen zelf versleuteld waren, hebben onderzoekers gezegd dat aanvallers gevoelige informatie uit sommige accounts konden halen door zwakke hoofdwachtwoorden te kraken. In gevallen waarin gebruikers cryptocurrency seed phrases of privésleutels in hun kluizen opsloegen, konden aanvallers later toegang krijgen tot en de bijbehorende wallets leegtrekken.
Onderzoekers zeiden dat meer dan 35 miljoen dollar aan cryptovaluta die aan het incident werd gekoppeld, tussen eind 2024 en 2025 via witwasroutes werd gevolgd. De fondsen werden voornamelijk omgezet in bitcoin en via cryptocurrency-mixdiensten doorgevoerd die bedoeld waren om transactiegeschiedenissen te verhullen. Ondanks deze maatregelen konden analisten patronen identificeren die overeenkwamen met gecoördineerde witwasactiviteiten.
De witwasstromen waren gekoppeld aan infrastructuur die historisch werd gebruikt door Russische cybercriminele groepen. Dit omvatte het gebruik van mixdiensten en uitwisselingen die in eerdere onderzoeken naar financieel gemotiveerde cybercriminaliteit zijn verschenen. Onderzoekers zeiden dat het herhaalde hergebruik van dezelfde diensten en walletclusters wijst op continuïteit van controle in plaats van niet-gerelateerde criminele activiteiten.
De toeschrijving van de oorspronkelijke breuk zelf is nog steeds onopgelost. Onderzoekers benadrukten dat hoewel het on-chain bewijs wijst op betrokkenheid van Russische criminele netwerken bij de witwas- en cash-outfase, het niet definitief vaststelt wie de eerste inbraak in LastPass-systemen heeft uitgevoerd.
De bevindingen benadrukken de langetermijnimpact van datalekken met versleutelde inloggegevens. Zelfs wanneer gestolen informatie niet direct kan worden misbruikt, kunnen aanvallers maanden of jaren later waarde blijven afnemen, vooral wanneer gevoelig materiaal zoals cryptocurrency-sleutels in wachtwoordkluizen wordt opgeslagen.
Cybersecurity-specialisten hebben herhaaldelijk gewaarschuwd tegen het opslaan van privésleutels of herstelzinnen voor digitale portemonnees in online wachtwoordbeheerders. Zodra deze informatie is blootgesteld, kan deze informatie niet worden ingetrokken, waardoor elk compromis mogelijk onomkeerbaar is.
De voortdurende beweging van gestolen cryptocurrency jaren na de LastPass-inbreuk onderstreept hoe datablootstellingsincidenten blijvende financiële gevolgen kunnen hebben voor getroffen gebruikers, zelfs wanneer de oorspronkelijke aanval lijkt te zijn ingeperkt.