Взлом LastPass в 2022 году: последствия и российский след

Взлом менеджера паролей LastPass в 2022 году до сих пор приводит к плачевным последствиям. В 2024 и 2025 годах злоумышленники продолжают использовать украденные данные, чтобы получать доступ к чужим криптокошелькам. GetBlock AML Research раскрывает, кто стоит за этими атаками.

Ключевые выводы

• В цепочке отмывания средств, связанных со взломом LastPass, на разных этапах использовалась инфраструктура, связанная с российской киберпреступной средой.
• Анализ показал, что даже после попыток «перемешать» деньги для сокрытия следов сохранялась поведенческая связь — действия до и после этого этапа указывали на одних и тех же участников.
• Отмытые биткоины проходили через высокорисковые российские криптобиржи Cryptex и Audia6.
• Этот кейс показывает, с одной стороны, устойчивость киберпреступных экосистем, а с другой — то, что методы сокрытия происхождения средств работают все хуже.

В 2022 году хакеры взломали LastPass — один из самых популярных в мире менеджеров паролей. В результате были скомпрометированы резервные копии примерно 30 миллионов пользовательских хранилищ — зашифрованных «сейфов», где хранились самые чувствительные данные: пароли, ключи от криптокошельков и фразы для восстановления доступа.

Хотя эти хранилища были зашифрованы и изначально недоступны без главного пароля пользователя, злоумышленники смогли массово скачать их копии. Это создало долгосрочный риск для более чем 25 миллионов пользователей по всему миру: если основной пароль был слабым, его можно было со временем подобрать офлайн. Таким образом, единичный взлом в 2022 году превратился в многолетнюю возможность для хакеров постепенно вскрывать хранилища и выводить активы.

Новые волны краж в 2024–2025 годах

В течение 2024 и 2025 годов начали появляться новые волны краж средств из криптокошельков, что показало: последствия взлома LastPass далеко не ограничились моментом его раскрытия. Анализ недавней группы таких инцидентов позволил проследить путь украденных средств через сервисы сокрытия транзакций и далее — к двум высокорисковым российским биржам, которые часто используются киберпреступниками для вывода денег в реальный мир. Одна из этих бирж получала средства, связанные с LastPass, еще в октябре.

Эти данные дают наглядное представление о том, как именно украденные активы перемещаются и превращаются в реальные деньги, а также показывают инфраструктуру, стоящую за одним из самых масштабных взломов учетных данных за последнее десятилетие. Совокупность признаков — регулярное использование инфраструктуры, связанной с Россией, сохранение контроля над средствами до и после попыток скрыть их происхождение и систематический вывод через одни и те же российские биржи — указывает на участие киберпреступных групп, связанных с Россией.

Признаки возможной причастности российских киберпреступников

Анализ этих краж выявил два устойчивых признака, указывающих на возможное участие российской киберпреступной среды.

Во-первых, украденные средства неоднократно отмывались с использованием инфраструктуры, традиционно связанной с российскими киберпреступниками, включая сервисы вывода денег, которыми ранее пользовались злоумышленники из России.

Во-вторых, данные, связанные с кошельками, участвовавшими в операциях до и после сокрытия следов, указывали на единый контроль и связь с Россией. Это говорит не о случайном использовании средств третьими лицами, а о продолжении работы одних и тех же операторов.

Хотя точно установить, кто именно стоял за первоначальным взломом, пока невозможно, совокупность этих сигналов показывает: российская киберпреступная инфраструктура играет ключевую роль в превращении масштабных взломов в реальные деньги, а методы сокрытия транзакций все хуже справляются со своей задачей.

Что показал анализ «перемешивания» транзакций

Была выявлена единая техническая «подпись» у разных краж: украденные биткоин-ключи импортировались в однотипное программное обеспечение для кошельков, что приводило к схожим особенностям транзакций. Активы быстро обменивались на биткоин через сервисы мгновенного обмена, после чего средства переводились на одноразовые адреса и отправлялись в специальный кошелек для сокрытия следов.

Микширование транзакций. Визуализация: TRM Labs.

Исходя из этого шаблона, можно оценить, что в конце 2024 и начале 2025 года более $28 млн в криптовалюте были украдены, конвертированы в биткоин и пропущены через такие сервисы сокрытия.

Вместо анализа каждой кражи по отдельности действия рассматривались как единая скоординированная кампания. Это позволило выявить группы операций по вводу и выводу средств, совпадающие по времени и суммам, что крайне маловероятно как случайность.

Признаки, зафиксированные до попыток скрыть происхождение средств, и информация о кошельках после этих операций стабильно указывали на управление из России. Такая непрерывность усиливает уверенность в том, что отмывание средств проводилось участниками, работающими внутри или в тесной связи с российской киберпреступной экосистемой.

Ранние выводы средств происходили уже через несколько дней после первых краж, что говорит о том, что сами злоумышленники занимались сокрытием следов. В совокупности это показывает: методы «перемешивания» денег теряют надежность, а их анализ позволяет выявлять структуру и географию крупных преступных операций.

Российские биржи как дополнительный индикатор

Анализ движения средств, связанных со взломом LastPass, показал два этапа, которые в итоге сходились на российских биржах. На раннем этапе, сразу после первоначального взлома, средства проходили через сервис Cryptomixer.io (ныне не работающий) и выводились через биржу Cryptex, зарегистрированную в России и попавшую под санкции в 2024 году.

Связи с российскими криптобиржами. Визуализация: TRM Labs.

На следующей волне, выявленной в сентябре 2025 года, около $7 млн были проведены через сервис сокрытия транзакций, после чего средства поступили на Audia6 — еще одну российскую биржу, связанную с киберпреступной деятельностью.

Применение одинаковых методов анализа к обоим периодам выявило схожие схемы отмывания: групповые выводы средств и цепочки переводов, направлявшие биткоины именно на эти биржи. Повторяющееся использование одних и тех же российских площадок, а также признаки управления из России до и после сокрытия следов, указывают на устойчивую инфраструктуру, а не разовые или случайные действия.

Почему российский след имеет значение

Вероятная причастность российской стороны важна не только в рамках этого конкретного случая. Российские высокорисковые биржи и сервисы отмывания средств уже много лет используются международными группами, занимающимися вымогательским ПО, обходом санкций и другими видами киберпреступлений.

Роль такой инфраструктуры в истории с LastPass показывает, что финансовая среда, базирующаяся в России, продолжает оставаться системным элементом глобальной киберпреступности, даже несмотря на усиление давления со стороны регуляторов в других странах.

Этот кейс также наглядно демонстрирует, что попытки скрыть происхождение денег не снимают риск разоблачения, если преступники годами используют одни и те же сервисы и географические зоны. Анализ транзакций позволяет увидеть не отдельные переводы, а всю операционную картину целиком — включая то, где в конечном итоге сходятся незаконные деньги.