Venäläiset kyberrikolliset ovat todennäköisesti vastuussa yli 35 miljoonan dollarin arvoisen kryptovaluutan pesemisestä, joka on varastettu LastPass-käyttäjiltä, kertoo lohkoketjutiedusteluyritys TRM Labsin raportti.
Analyysissä yhdistettiin kryptolompakoiden monivuotinen tyhjennys salasanojen hallintaohjelma LastPassin vuoden 2022 tietomurtoon. Raportissa todettiin, että varastetut varat kuljetettiin laittoman rahoitusinfrastruktuurin kautta, joka on sidoksissa Venäjän kyberrikollisuuteen.
Miten venäläiset kyberrikolliset pesivät varastetut varat
TRM Labsin tutkijat huomasivat, että hyökkääjät käyttivät yksityisyyttä parantavia protokollia rahavirtojen peittämiseksi, mutta lopulta varat siirrettiin Venäjällä toimiville alustoille.
Raportin mukaan rikolliset ovat jatkaneet omaisuuserien siirtämistä vaarantuneista säilöistä vielä vuoden 2025 lopulla.
Toimijat pesivät varastetut varat järjestelmällisesti niillä reiteillä, joita venäläiset uhkatoimijat ovat käyttäneet aiemminkin. Näihin palveluihin kuului esimerkiksi Cryptex, joka on tällä hetkellä Yhdysvaltain OFACin pakotelistalla.
TRM Labs kertoi tunnistaneensa “yhdenmukaisen lohkoketjujäljen”, joka liitti varkaudet yhteen koordinoituun ryhmään.
Hyökkääjät muuttivat toistuvasti muita omaisuuseriä Bitcoiniksi pikavaihtopalveluiden kautta. Varat siirrettiin tämän jälkeen mixereihin kuten Wasabi Wallet ja CoinJoin.
Nämä työkalut on tehty keräämään useiden käyttäjien varoja yhteen ja sekoittamaan tapahtumahistoriat, mikä tekee niiden seuraamisesta teoriassa mahdotonta.
Kuitenkin raportissa tuodaan esiin merkittävä epäonnistuminen näissä yksityisyysteknologioissa. Analyytikot pystyivät “purkamaan” sekoitetut tapahtumat käyttäytymisen jatkuvuusanalyysin avulla.
Tutkijat seurasivat digitaalisia jälkiä, esimerkiksi lompakko-ohjelmiston tapaa tuoda yksityisiä avaimia, ja onnistuivat purkamaan sekoituksen. Näin he pystyivät seuraamaan kryptovaluutan liikkeitä yksityisyysprotokollien läpi ja tarkastelemaan lopullista talletusta venäläisille pörsseille.
Edellä mainitun Cryptexin lisäksi tutkijat jäljittivät noin 7 miljoonaa dollaria varastettuja varoja Audi6-palveluun, joka toimii myös Venäjän kyberrikollisten ekosysteemissä.
Raportissa mainitaan, että mixerien kanssa toimineet lompakot osoittivat “toiminnallisia yhteyksiä Venäjään” sekä ennen että jälkeen rahanpesun. Tämä viittaa siihen, että hakkerit eivät pelkästään vuokranneet infrastruktuuria vaan toimivat suoraan alueelta.
Havainnot korostavat Venäjän kryptopörssien merkittävää roolia maailmanlaajuisen kyberrikollisuuden mahdollistajina.
Tarjoamalla likviditeettiä ja mahdollisuuden siirtää varoja järjestelmistä ulos nämä pörssit antavat rikollisryhmille mahdollisuuden hyötyä tietomurroista ja samalla vältellä kansainvälistä lainvalvontaa.
