LastPass-Hack: Russische Hacker waschen 35 Millionen in Kryptowährungen

Nach einer eingehenden Analyse des Blockchain-Intelligence-Unternehmens TRM Labs ist eine koordinierte Gruppe russischer Cyberkrimineller angeblich für die Wäsche von mehr als 35 Millionen US-Dollar in Kryptowährung verantwortlich. Diese Gelder wurden systematisch von LastPass-Nutzern nach dem berüchtigten Systembruch im Jahr 2022 entwendet.

Der Bericht hebt hervor, dass es sich bei dem Angriff nicht um ein isoliertes Ereignis, sondern um eine jahrelange Kampagne zur Entnahme von Geldbörsen handelt. Trotz der seit dem ersten Einbruch verstrichenen Zeit bestätigten die Forscher, dass die Angreifer bis Ende 2025 weiterhin Guthaben aus den kompromittierten "Tresoren" abzogen.

Die Geldspur: von Mixern zu russischen Plattformen

Die technische Analyse von TRM Labs enthüllte ein ausgeklügeltes System zur Geldwäsche. Die Kriminellen folgten einem präzisen Protokoll: Zunächst wurden Nicht-Bitcoin-Vermögenswerte über Sofortaustauschdienste in Bitcoin umgewandelt. Anschließend wurden die Gelder in Mischdienste wie Wasabi Wallet und CoinJoin eingespeist.

Diese Tools sind darauf ausgelegt, die Transaktionen verschiedener Nutzer zu "mischen", so dass es theoretisch unmöglich ist, die Herkunft und den endgültigen Bestimmungsort der Gelder zurückzuverfolgen. In diesem Fall zeigte die Datenschutztechnologie jedoch ihre Grenzen auf.

Der Wendepunkt in den Ermittlungen: "De-mixing"

Die Analysten von TRM Labs waren in der Lage, eine "De-mixing"-Operation durchzuführen, indem sie die Bewegungen durch die so genannte "Behavioral Continuity Analysis" entschlüsselten. Die Experten identifizierten eine "konstante On-Chain-Signatur", die es ihnen ermöglichte, die verschiedenen Diebstähle mit einer einzigen organisierten Gruppe in Verbindung zu bringen.

Durch die Verfolgung spezifischer Fingerabdrücke - wie z. B. die Art und Weise, wie die Wallet-Software private Schlüssel importierte - "entwirrten" die Ermittler den Mischprozess. So konnte der Geldfluss bis zur endgültigen Einzahlung auf Börsen mit Sitz in Russland zurückverfolgt werden.

Illegale Infrastrukturen und internationale Sanktionen

Das gestohlene Geld landete auf Plattformen, die bei internationalen Behörden berüchtigt sind. Rund 7 Millionen Dollar wurden über Audi6 abgewickelt, einen Austauschdienst, der im russischen Ökosystem der Cyberkriminalität operiert. Ein weiterer erheblicher Teil der Gelder floss über Cryptex, eine Börse, die derzeit vom US Office of Foreign Assets Control (OFAC) wegen ihrer Rolle bei der Erleichterung illegaler Transaktionen sanktioniert wird.

Eine Analyse der Geldwäscheaktivitäten im Zusammenhang mit LastPass zeigt zwei unterschiedliche Phasen, die beide zu russischen Börsen flossen. In der ersten Phase, nach der ursprünglichen Ausbeutung, wurden die gestohlenen Gelder über die nun nicht mehr existierende Cryptomixer.io geleitet und über Cryptex, eine in Russland ansässige Börse, die von der OFAC im Jahr 2024 sanktioniert wurde, in Fiat-Währung umgewandelt, wie TRM in einem Bericht feststellt.

TRM Traces Stolen Crypto from 2022 LastPass Breach - On-Chain Indicators Suggest Russian Cybercriminals Involvement | TRM Blog

TRM verfolgte die mit LastPass in Verbindung stehende Bitcoin-Wäsche durch Mixer zu hochriskanten russischen Börsen, und zeigt, wie die Entmischung die Wiederverwendung von Infrastrukturen aufdeckt und die Anonymität von Mischern einschränkt.

TRM BlogTRM Team

Der Bericht weist darauf hin, dass die Geldbörsen, die mit den Mixern interagierten, sowohl vor als auch nach der Geldwäsche "operative Verbindungen" zu Russland aufwiesen. Dieses Detail deutet darauf hin, dass die Hacker nicht einfach die lokale Infrastruktur nutzten, sondern direkt aus der Region heraus operierten.

Ein Weckruf für die globale Sicherheit

Dieser Bericht verdeutlicht die zentrale Rolle russischer Krypto-Plattformen bei der Unterstützung der Cyberkriminalität auf globaler Ebene. Durch die Bereitstellung von Liquidität und Ausstiegsrouten (Off-Ramps) für gestohlene digitale Vermögenswerte ermöglichen diese Börsen kriminellen Gruppen die Monetarisierung von Datenschutzverletzungen, während sie sich der internationalen Strafverfolgung entziehen.

Für LastPass-Benutzer und die Krypto-Gemeinschaft insgesamt ist die Botschaft klar: Vergangene Schwachstellen können Bedrohungen schaffen, die sich über Jahre hinziehen, was ständige Wachsamkeit und proaktive Sicherheitsmaßnahmen unerlässlich macht.