O LastPass, um serviço usado para armazenar credenciais de login e outras informações sensíveis em cofres digitais criptografados, foi novamente ligado a roubos em larga escala de criptomoedas decorrentes do incidente de segurança de 2022. Novas análises de blockchain indicam que a infraestrutura cibercriminosa russa desempenhou um papel central na lavagem de fundos roubados retirados de usuários afetados.
As descobertas referem-se a perdas de criptomoedas sofridas por usuários cujos cofres de senhas criptografadas foram acessados durante a violação. Segundo pesquisadores de cibersegurança, carteiras que possuem criptomoedas roubadas interagiram repetidamente com serviços e exchanges associados a redes de crimes cibernéticos de língua russa. Essa atividade foi observada por um período prolongado, indicando que o roubo e a lavagem de fundos continuaram muito depois do incidente original ter se tornado público.
A violação de 2022 permitiu que atacantes obtivessem backups criptografados dos cofres de usuários. Embora os próprios cofres estivessem criptografados, pesquisadores disseram que atacantes conseguiram extrair informações sensíveis de algumas contas ao quebrar senhas mestras fracas. Nos casos em que usuários armazenavam frases seed de criptomoedas ou chaves privadas dentro de seus cofres, atacantes conseguiram posteriormente acessar e drenar carteiras associadas.
Pesquisadores disseram que mais de 35 milhões de dólares em criptomoedas ligadas ao incidente foram rastreadas por meio de rotas de lavagem entre o final de 2024 e 2025. Os fundos eram principalmente convertidos para bitcoin e passados por serviços de mistura de criptomoedas projetados para obscurecer o histórico de transações. Apesar dessas medidas, os analistas conseguiram identificar padrões consistentes com atividades coordenadas de lavagem de roupa.
Os fluxos de lavagem estavam ligados a infraestrutura historicamente usada por grupos cibercriminosos russos. Isso incluiu o uso de serviços e trocas de serviços e trocas de mistura que surgiram em investigações anteriores envolvendo crimes cibernéticos motivados financeiramente. Pesquisadores disseram que a reutilização repetida dos mesmos serviços e clusters de carteiras sugeria continuidade do controle, e não atividades criminosas não relacionadas.
A atribuição da violação original em si permanece sem solução. Pesquisadores enfatizaram que, embora as evidências on-chain sugiram envolvimento de redes criminosas baseadas na Rússia nas fases de lavagem e saída de dinheiro, elas não identificam de forma conclusiva quem realizou a intrusão inicial nos sistemas do LastPass.
Os resultados destacam o impacto de longo prazo de violações envolvendo dados de credenciais criptografados. Mesmo quando informações roubadas não podem ser exploradas imediatamente, os atacantes podem continuar extraindo valor meses ou anos depois, especialmente quando materiais sensíveis como chaves de criptomoedas são armazenados em cofres de senha.
Especialistas em cibersegurança alertaram repetidamente contra armazenar chaves privadas ou frases de recuperação para carteiras digitais em gerenciadores de senhas online. Uma vez expostas, tais informações não podem ser revogadas, tornando qualquer compromisso potencialmente irreversível.
A movimentação contínua de criptomoedas roubadas anos após a violação do LastPass ressalta como incidentes de exposição de dados podem ter consequências financeiras duradouras para os usuários afetados, mesmo quando o ataque original parece estar contido.