Hack LastPass: riciclati 35 milioni in crypto da hacker russi
Un’indagine di TRM Labs rivela come hacker russi abbiano riciclato oltre 35 milioni di dollari in criptovalute sottratte agli utenti LastPass.
Secondo un’analisi approfondita pubblicata dalla società di blockchain intelligence TRM Labs, un gruppo coordinato di cybercriminali russi sarebbe responsabile del riciclaggio di oltre 35 milioni di dollari in criptovalute. Questi fondi sono stati sottratti sistematicamente agli utenti di LastPass, a seguito della nota violazione dei sistemi avvenuta nel 2022.
Il rapporto evidenzia come l’attacco non sia stato un evento isolato, ma una campagna di drenaggio dei wallet durata anni. Nonostante il tempo trascorso dal breach iniziale, i ricercatori hanno confermato che i malintenzionati hanno continuato a prelevare asset dai "caveau" (vault) compromessi fino alla fine del 2025.
Il percorso del denaro: dai mixer alle piattaforme russe
L’analisi tecnica di TRM Labs ha svelato un sofisticato schema di lavaggio del denaro. I criminali hanno seguito un protocollo preciso: inizialmente, gli asset non-Bitcoin venivano convertiti in Bitcoin attraverso servizi di scambio istantaneo. Successivamente, i fondi venivano fatti confluire in servizi di miscelazione (mixing) come Wasabi Wallet e CoinJoin.
Questi strumenti sono progettati per "mescolare" le transazioni di diversi utenti, rendendo teoricamente impossibile tracciare l’origine e la destinazione finale dei fondi. Tuttavia, in questo caso, la tecnologia di privacy ha mostrato i suoi limiti.
La svolta nelle indagini: il "De-mixing"
Gli analisti di TRM Labs sono riusciti a compiere un’operazione di "de-mixing", decriptando i movimenti attraverso la cosiddetta "behavioral continuity analysis" (analisi della continuità comportamentale). Gli esperti hanno identificato una "firma on-chain costante" che ha permesso di collegare i vari furti a un unico gruppo organizzato.
Rintracciando specifiche impronte digitali — come le modalità con cui il software del wallet importava le chiavi private — gli investigatori hanno "srotolato" il processo di miscelazione. Questo ha permesso di seguire il flusso di denaro fino al suo deposito finale su exchange con sede in Russia.
Infrastrutture illecite e sanzioni internazionali
Il denaro rubato è approdato su piattaforme tristemente note alle autorità internazionali. Circa 7 milioni di dollari sono stati tracciati verso Audi6, un servizio di scambio che opera nell’ecosistema del cybercrimine russo. Un’altra parte consistente dei fondi è transitata per Cryptex, un exchange attualmente sanzionato dall'OFAC (Office of Foreign Assets Control) degli Stati Uniti proprio per il suo ruolo nel facilitare transazioni illecite.
L'analisi delle attività di riciclaggio collegate a LastPass rivela due fasi distinte che sono entrambe confluite verso exchange russi. In una fase iniziale, successiva allo sfruttamento originario, i fondi rubati sono stati instradati attraverso l'ormai defunto Cryptomixer.io e convertiti in valuta fiat tramite Cryptex, un exchange con sede in Russia sanzionato dall'OFAC nel 2024, come dichiarato da TRM in un rapporto.
Il rapporto sottolinea che i wallet che interagivano con i mixer mostravano "legami operativi" con la Russia sia prima che dopo il processo di riciclaggio. Questo dettaglio suggerisce che gli hacker non stavano semplicemente utilizzando infrastrutture locali, ma operavano direttamente dalla regione.
Un campanello d'allarme per la sicurezza globale
Questa vicenda mette in luce il ruolo centrale delle piattaforme crypto russe nel sostenere il crimine informatico su scala mondiale. Fornendo liquidità e vie d'uscita (off-ramps) per gli asset digitali rubati, questi exchange permettono ai gruppi criminali di monetizzare le violazioni di dati, eludendo le forze dell'ordine internazionali.
Per gli utenti di LastPass e per l'intera comunità crypto, il messaggio è chiaro: le vulnerabilità del passato possono generare minacce che si trascinano per anni, rendendo essenziale una vigilanza costante e l'adozione di misure di sicurezza proattive.
Un bug critico nell’estensione Chrome di Trust Wallet ha causato il furto di circa 7 milioni di dollari in crypto. Ecco cosa è successo, chi è a rischio e come proteggere i fondi.
Cybercriminali legati alla Corea del Nord hanno sottratto oltre 300 milioni di dollari al settore crypto usando falsi meeting video, account Telegram compromessi e malware avanzato.
Secondo un’analisi approfondita pubblicata dalla società di blockchain intelligence TRM Labs, un gruppo coordinato di cybercriminali russi sarebbe responsabile del riciclaggio di oltre 35 milioni di dollari in criptovalute. Questi fondi sono stati sottratti sistematicamente agli utenti di LastPass, a seguito della nota violazione dei sistemi avvenuta nel 2022.
Il rapporto evidenzia come l’attacco non sia stato un evento isolato, ma una campagna di drenaggio dei wallet durata anni. Nonostante il tempo trascorso dal breach iniziale, i ricercatori hanno confermato che i malintenzionati hanno continuato a prelevare asset dai "caveau" (vault) compromessi fino alla fine del 2025.
Il percorso del denaro: dai mixer alle piattaforme russe
L’analisi tecnica di TRM Labs ha svelato un sofisticato schema di lavaggio del denaro. I criminali hanno seguito un protocollo preciso: inizialmente, gli asset non-Bitcoin venivano convertiti in Bitcoin attraverso servizi di scambio istantaneo. Successivamente, i fondi venivano fatti confluire in servizi di miscelazione (mixing) come Wasabi Wallet e CoinJoin.
Questi strumenti sono progettati per "mescolare" le transazioni di diversi utenti, rendendo teoricamente impossibile tracciare l’origine e la destinazione finale dei fondi. Tuttavia, in questo caso, la tecnologia di privacy ha mostrato i suoi limiti.
La svolta nelle indagini: il "De-mixing"
Gli analisti di TRM Labs sono riusciti a compiere un’operazione di "de-mixing", decriptando i movimenti attraverso la cosiddetta "behavioral continuity analysis" (analisi della continuità comportamentale). Gli esperti hanno identificato una "firma on-chain costante" che ha permesso di collegare i vari furti a un unico gruppo organizzato.
Rintracciando specifiche impronte digitali — come le modalità con cui il software del wallet importava le chiavi private — gli investigatori hanno "srotolato" il processo di miscelazione. Questo ha permesso di seguire il flusso di denaro fino al suo deposito finale su exchange con sede in Russia.
Infrastrutture illecite e sanzioni internazionali
Il denaro rubato è approdato su piattaforme tristemente note alle autorità internazionali. Circa 7 milioni di dollari sono stati tracciati verso Audi6, un servizio di scambio che opera nell’ecosistema del cybercrimine russo. Un’altra parte consistente dei fondi è transitata per Cryptex, un exchange attualmente sanzionato dall'OFAC (Office of Foreign Assets Control) degli Stati Uniti proprio per il suo ruolo nel facilitare transazioni illecite.
Il rapporto sottolinea che i wallet che interagivano con i mixer mostravano "legami operativi" con la Russia sia prima che dopo il processo di riciclaggio. Questo dettaglio suggerisce che gli hacker non stavano semplicemente utilizzando infrastrutture locali, ma operavano direttamente dalla regione.
Un campanello d'allarme per la sicurezza globale
Questa vicenda mette in luce il ruolo centrale delle piattaforme crypto russe nel sostenere il crimine informatico su scala mondiale. Fornendo liquidità e vie d'uscita (off-ramps) per gli asset digitali rubati, questi exchange permettono ai gruppi criminali di monetizzare le violazioni di dati, eludendo le forze dell'ordine internazionali.
Per gli utenti di LastPass e per l'intera comunità crypto, il messaggio è chiaro: le vulnerabilità del passato possono generare minacce che si trascinano per anni, rendendo essenziale una vigilanza costante e l'adozione di misure di sicurezza proattive.
Leggi il prossimo
Hack Trust Wallet a Natale: rubati 7 milioni di dollari
Un bug critico nell’estensione Chrome di Trust Wallet ha causato il furto di circa 7 milioni di dollari in crypto. Ecco cosa è successo, chi è a rischio e come proteggere i fondi.
Solana resiste a un attacco DDoS record da 6 Tbps
Solana supera uno dei più grandi attacchi DDoS della storia senza downtime, segnando una svolta sulla resilienza della rete.
Hacker Nordcoreani Rubano $300M con Finti Meeting Crypto
Cybercriminali legati alla Corea del Nord hanno sottratto oltre 300 milioni di dollari al settore crypto usando falsi meeting video, account Telegram compromessi e malware avanzato.
Hack su WeChat coinvolge la cofondatrice di Binance
L’account WeChat della cofondatrice di Binance è stato hackerato per spingere la meme coin Mubarakah in uno schema pump-and-dump.