Russiske cyberkriminelle står sandsynligvis bag hvidvask af mere end 35 millioner dollars i kryptovaluta stjålet fra LastPass-brugere, ifølge en rapport fra blockchain-efterretningsfirmaet TRM Labs.
Analysen forbandt den flerårige tømning af crypto wallets til bruddet på password manageren LastPass i 2022. Den bemærkede, at de stjålne midler blev ført gennem ulovlig finansiel infrastruktur forbundet til Ruslands cyberkriminelle undergrund.
Sådan vaskede russiske cyberkriminelle de stjålne midler
TRM Labs’ forskere fandt, at gerningsmændene brugte privatlivsprotokoller til at skjule pengestrømmen, men midlerne blev til sidst sendt til platforme baseret i Rusland.
Ifølge rapporten har gerningsmændene fortsat med at trække aktiver ud fra kompromitterede wallets så sent som i slutningen af 2025.
De kriminelle aktører hvidvaskede systematisk de stjålne midler gennem off-ramps, som trusselsaktører fra Rusland historisk har brugt. En af disse var Cryptex, en børs der i øjeblikket er omfattet af sanktioner fra US Office of Foreign Assets Control (OFAC).
TRM Labs sagde, at de identificerede et “ensartet on-chain signatur”, som forbinder tyverierne til en enkelt, koordineret gruppe.
Angriberne vekslede gentagne gange ikke-Bitcoin aktiver til Bitcoin via instant swap services. Midlerne blev derefter flyttet til mixing-tjenester som Wasabi Wallet og CoinJoin.
Disse værktøjer er designet til at samle midler fra mange brugere for at blande transaktionshistorikken, hvilket teoretisk gør dem umulige at spore.
Men rapporten fremhæver en markant svaghed i disse privatlivsteknologier. Analytikere kunne “de-mixe” transaktionerne ved hjælp af adfærdsanalyse.
Efterforskerne sporede specifikke digitale spor, eksempelvis hvordan wallet-software importerede private keys, og fik dermed succes med at rulle mixing-processen tilbage. Det gjorde det muligt at følge kryptovalutaen gennem privatlivsprotokollerne og observere den endelige indbetaling til russiske børser.
Udover Cryptex sporede efterforskerne omkring 7 millioner dollars i stjålne midler til Audi6, en anden børs der opererer inden for det russiske cyberkriminelle økosystem.
Rapporten bemærker, at wallets, der brugte mixer-tjenesterne, havde “operationelle forbindelser til Rusland” både før og efter hvidvaskningen. Det tyder på, at hackerne ikke blot lejede infrastruktur, men opererede direkte fra regionen.
Konklusionen understreger russiske kryptoplatformes rolle i at muliggøre global cyberkriminalitet.
Disse børser skaber likviditet og off-ramps for stjålne digitale aktiver og giver dermed kriminelle grupper mulighed for at omsætte datatyverier til penge og undgå internationale politimyndigheder.
