Las copias de seguridad cifradas de la cúpula robadas durante la filtración de datos de LastPass de 2022 han permitido a los delincuentes exprimir contraseñas maestras débiles para abrirlas y drenar los activos de criptomonedas a finales de 2025, según nuevos hallazgos de TRM Labs.
La firma de inteligencia blockchain dijo que la evidencia apunta a la billete de actores cibercriminales rusos en la actividad, y uno de los intercambios rusos recibió fondos vinculados a LastPass en octubre.
Esta evaluación “se podio en la totalidad de la evidencia en sujeción, incluida la interacción repetida con la infraestructura asociada a Rusia, la continuidad del control en las actividades previas y posteriores a la combinación y el uso constante de intercambios rusos de detención aventura como rampas de salida”, agregó.
LastPass sufrió un importante ataque en 2022 que permitió a los atacantes alcanzar a información personal de sus clientes, incluidas sus bóvedas de contraseñas cifradas que contienen credenciales, como claves privadas de criptomonedas y frases iniciales.
A principios de este mes, el servicio de diligencia de contraseñas recibió una multa de 1,6 millones de dólares por parte de la Oficina del Comisionado de Información del Reino Unido (ICO) por no implementar medidas técnicas y de seguridad suficientemente sólidas para evitar el incidente.
La violación igualmente llevó a la compañía a emitir una advertencia en ese momento, indicando que los delincuentes pueden usar técnicas de fuerza bruta para adivinar las contraseñas maestras y descifrar los datos de la cúpula robados. Los últimos hallazgos de TRM Labs muestran que los ciberdelincuentes han hecho precisamente eso.
“Cualquier cúpula protegida por una contraseña maestra débil podría eventualmente descifrarse fuera de raya, convirtiendo una única intrusión en 2022 en una ventana de varios abriles para que los atacantes descifren silenciosamente contraseñas y agoten activos con el tiempo”, dijo la compañía.
“Como los usuarios no rotaron las contraseñas ni mejoraron la seguridad de la cúpula, los atacantes continuaron descifrando contraseñas maestras débiles abriles a posteriori, lo que provocó un drenaje de billeteras a finales de 2025”.
Los vínculos rusos con la criptomoneda robada de la violación de LastPass de 2022 se derivan de dos factores principales: el uso de intercambios comúnmente asociados con el ecosistema cibercriminal ruso en el proceso de lavado y las conexiones operativas obtenidas de las billeteras que interactúan con los mezcladores ayer y a posteriori del proceso de mezcla y lavado.
Se han rastreado más 35 millones de dólares en activos digitales desviados, de los cuales 28 millones se convirtieron en Bitcoin y se lavaron a través de Wasabi Wallet entre finales de 2024 y principios de 2025. Otros 7 millones de dólares se han vinculado a una ola posterior detectada en septiembre de 2025.
Se descubrió que los fondos robados se enrutaban a través de Cryptomixer.io y salían a través de Cryptex y Audia6, dos intercambios rusos asociados con actividades ilícitas. Vale la pena mencionar aquí que Cryptex fue sancionado por el Sección del Caudal de EE. UU. en septiembre de 2024 por aceptar más de 51,2 millones de dólares en fondos ilícitos derivados de ataques de ransomware.
TRM Labs dijo que pudo desmezclar la actividad a pesar del uso de técnicas CoinJoin para hacer más difícil rastrear el flujo de fondos a observadores externos, descubriendo retiros agrupados y cadenas peladas que canalizaban Bitcoin mezclado alrededor de los dos intercambios.
“Este es un claro ejemplo de cómo una única infracción puede convertirse en una campaña de robo de varios abriles”, dijo Ari Redbord, caudillo integral de políticas de TRM Labs. “Incluso cuando se utilizan mezcladores, los patrones operativos, la reutilización de la infraestructura y el comportamiento de salida pueden revelar quién está en realidad detrás de la actividad”.
“Los intercambios rusos de detención aventura continúan sirviendo como rampas de salida críticas para el cibercrimen integral. Este caso muestra por qué la desmezcla y el prospección a nivel de ecosistema son ahora herramientas esenciales para la atribución y la aplicación de la ley”.
