Ryska cyberbrottslingar är troligen ansvariga för att tvätta mer än 35 miljoner USD i kryptovaluta som stals från LastPass-användare, enligt en rapport från blockkedjeanalysföretaget TRM Labs.
Analysen kopplar den mångåriga tömningen av kryptoplånböcker till intrånget i lösenordshanteraren LastPass år 2022. De konstaterar att de stulna pengarna gick genom olagliga finansiella nätverk kopplade till Rysslands cyberbrottslighet.
Så tvättade ryska cyberbrottslingar de stulna pengarna
TRM Labs forskare såg att angriparna använde integritetsprotokoll för att dölja pengarnas väg. Men till slut förde de över pengarna till ryska plattformar.
Enligt rapporten har gärningsmännen fortsatt att tömma tillgångar från hackade valv så sent som i slutet av 2025.
De kriminella tvättade systematiskt pengarna genom uttagsvägar som ryska hotaktörer ofta använder. En av dessa var Cryptex, en växlingsplattform som just nu är sanktionerad av US Office of Foreign Assets Control (OFAC).
TRM Labs säger att de hittade en “enhetlig kedjesignatur” som kopplade stölderna till en enda samordnad grupp.
Angriparna bytte upprepade gånger ut tillgångar som inte var Bitcoin till Bitcoin med hjälp av snabba växlingstjänster. Sedan flyttade de pengarna till mixningstjänster som Wasabi Wallet och CoinJoin.
Dessa verktyg blandar pengar från många användare för att dölja transaktionshistorik, så att pengarna i teorin inte ska gå att spåra.
Men rapporten lyfter fram allvarliga brister i integritetstekniken. Analytiker lyckades “avmixa” transaktionerna genom beteendeanalys.
Utredare spårade digitala spår, till exempel hur plånboksprogram tog in privata nycklar, och lyckades nysta upp mixningsprocessen. Därmed kunde de följa kryptovalutan genom integritetsprotokollen och se insättningarna på ryska växlingsplattformar.
Förutom Cryptex spårade utredare ungefär 7 miljoner USD i stulna tillgångar till Audi6, en annan växlingstjänst som också ingår i den ryska cyberbrottsmiljön.
Rapporten säger att de plånböcker som använde mixningstjänster visade “operativa kopplingar” till Ryssland både före och efter tvättprocessen. Det tyder på att hackarna inte bara hyrde infrastruktur utan agerade direkt från regionen.
Fynden visar att ryska kryptoplattformar spelar en viktig roll för den globala cyberbrottsligheten.
Genom att erbjuda likviditet och uttagsvägar för stulna digitala tillgångar kan dessa växlingsplattformar hjälpa kriminella grupper att tjäna pengar på dataintrång och undvika internationella rättsväsendet.
