Según los nuevos hallazgos de TRM Labs, las copias de seguridad cifradas de las bóvedas robadas durante la violación de datos de LastPass en 2022 han permitido a personas malintencionadas aprovechar contraseñas maestras débiles para abrirlas y agotar los activos de criptomonedas.
La empresa de inteligencia blockchain dijo las pruebas apuntan a la participación de ciberdelincuentes rusos en la actividad, y una de las bolsas rusas recibió fondos vinculados a LastPass en octubre pasado.
Esta evaluación se «basa en la totalidad de las pruebas en cadena, incluida la interacción repetida con la infraestructura asociada a Rusia, la continuidad del control de la actividad previa y posterior a la mezcla y el uso constante de bolsas rusas de alto riesgo como rampas de salida », añadió.
Último pase sufrido un importante hackeo en 2022 que permitió a los atacantes acceder a la información personal de sus clientes, incluidas sus bóvedas de contraseñas cifradas que contienen credenciales, como claves privadas y frases iniciales de criptomonedas.
A principios de este mes, el servicio de administración de contraseñas fue multado con 1,6 millones de dólares por parte de la Oficina del Comisionado de Información (ICO) del Reino Unido por no implementar medidas técnicas y de seguridad suficientemente sólidas para evitar el incidente.
La violación también llevó a la empresa a emitir una advertencia en ese momento, en la que afirmaba que los delincuentes podían utilizar técnicas de fuerza bruta para adivinar las contraseñas maestras y descifrar los datos robados de la bóveda. Los últimos hallazgos de TRM Labs muestran que los ciberdelincuentes han hecho precisamente eso.
«Cualquier bóveda protegida por una contraseña maestra débil podría eventualmente descifrarse sin conexión, lo que convertiría una sola intrusión en 2022 en un período de varios años para que los atacantes descifraran silenciosamente las contraseñas y agotaran los activos con el tiempo», afirma la empresa.
«Como los usuarios no podían rotar las contraseñas ni mejorar la seguridad de las bóvedas, los atacantes continuaron descifrando contraseñas maestras débiles años después, lo que provocó el agotamiento de carteras a finales de 2025».
Los vínculos rusos con la criptomoneda robada en la violación de LastPass de 2022 se deben a dos factores principales: el uso de bolsas comúnmente asociadas al ecosistema cibercriminal ruso en el proceso de blanqueo de capitales y las conexiones operativas que se obtienen de las carteras que interactúan con las mezcladoras antes y después del proceso de mezcla y lavado.
Se han rastreado más de 35 millones de dólares en activos digitales desviados, de los cuales 28 millones se convirtieron en Bitcoin y se blanquearon a través de Wasabi Wallet entre finales de 2024 y principios de 2025. Otros 7 millones de dólares se han relacionado con una oleada posterior detectada en septiembre de 2025.
Se ha descubierto que los fondos robados se canalizaron a través de Cryptomixer.io y se desviaron a través de Cryptex y Audia6, dos bolsas rusas asociadas a actividades ilícitas. Vale la pena mencionar aquí que Cryptex fue sancionado por el Departamento del Tesoro de los Estados Unidos en septiembre de 2024 por recibir más de 51,2 millones de dólares en fondos ilícitos derivados de ataques de ransomware.
TRM Labs dijo que pudo desmezclar la actividad a pesar del uso de CoinJoin técnicas para dificultar el seguimiento del flujo de fondos hacia los observadores externos, descubriendo retiros agrupados y cadenas de pelado que canalizó el Bitcoin mixto hacia las dos bolsas.
«Este es un claro ejemplo de cómo una sola infracción puede convertirse en una campaña de robo de varios años», afirma Ari Redbord, director global de políticas de TRM Labs. «Incluso cuando se utilizan mezcladores, los patrones operativos, la reutilización de la infraestructura y el comportamiento de salida pueden revelar quién está realmente detrás de la actividad».
«Las bolsas rusas de alto riesgo siguen sirviendo como vías de salida fundamentales para la ciberdelincuencia mundial. Este caso demuestra por qué la desmezcla y el análisis a nivel de los ecosistemas son ahora herramientas esenciales para la atribución y la aplicación de la ley».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS