Os backups criptografados dos cofres de senha roubados na violação do LastPass em 2022 continuam sendo explorados por cibercriminosos.
Segundo uma nova investigação, esses hackers têm utilizado senhas mestras fracas para decifrar os arquivos e esvaziar carteiras de criptomoedas, com ataques registrados até o final de 2025.
A empresa de inteligência em blockchain identificou indícios que apontam para o envolvimento de atores russos nesse esquema.
Uma das exchanges russas teria recebido fundos ligados ao LastPass ainda em outubro deste ano.
A análise baseou-se em evidências on-chain, incluindo interações repetidas com infraestrutura associada à Rússia, continuidade do controle antes e depois das operações de mixing, e o uso constante de exchanges russas de alto risco para converter os ativos ilícitos em dinheiro.
O hack no LastPass em 2022 expôs informações pessoais dos usuários, como cofres de senha criptografados contendo credenciais, entre elas chaves privadas de criptomoedas e seed phrases.
Em consequência, o serviço foi multado em US$ 1,6 milhão pela Information Commissioner’s Office (ICO) do Reino Unido por falhas na implementação de medidas técnicas e de segurança adequadas para evitar o incidente.
Na época, a empresa alertou que invasores poderiam usar ataques de força bruta para descobrir as senhas mestras e decifrar os cofres roubados.
Senhas mestras fracas permitem a descriptografia offline dos cofres por anos, oferecendo um longo período para que os criminosos atuem silenciosamente e drenem ativos.
As conexões russas na lavagem dos fundos roubados decorrem do uso de exchanges ligadas ao ecossistema cibercrimininal russo e da interação entre carteiras e mixers antes e depois do processo de lavagem.
Estima-se que mais de US$ 35 milhões em ativos digitais tenham sido movimentados, dos quais US$ 28 milhões foram convertidos em Bitcoin e lavados pelo Wasabi Wallet entre o final de 2024 e o início de 2025.
Outros US$ 7 milhões estão associados a uma nova onda de movimentações detectada em setembro de 2025.
Os fundos desviados passaram por serviços como Cryptomixer.io e foram convertidos em dinheiro vivo nas exchanges russas Cryptex e Audia6, ambas relacionadas a atividades ilícitas.
Importante destacar que a Cryptex foi sancionada pelo Departamento do Tesouro dos EUA em setembro de 2024, após ser ligada ao recebimento de mais de US$ 51,2 milhões oriundos de ataques ransomware.
Apesar do uso de técnicas CoinJoin, que dificultam o rastreamento das transações, a TRM Labs conseguiu desfazer o mixing das operações ao identificar padrões de saques e cadeias de peeling que direcionaram os Bitcoins misturados para essas duas exchanges.
Ari Redbord, diretor global de políticas da TRM Labs, resumiu o caso: “Este é um exemplo claro de como uma única violação pode se transformar em uma campanha de roubo que dura anos.
Mesmo com mixers, padrões operacionais, reutilização de infraestrutura e comportamento nas off-ramps revelam quem está por trás.”
O caso reforça a importância do demixing e da análise em nível de ecossistema como ferramentas fundamentais para a atribuição e aplicação da lei contra crimes cibernéticos, especialmente com exchanges de alto risco sediadas na Rússia atuando como pontos críticos para a saída global de ativos ilícitos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...