En septiembre de 2023, KrebsonsCurity publicó los resultados de los investigadores de seguridad que concluyeron que una serie de ciberheistas de seis dígitos a través de docenas de víctimas resultan de ladrones que descifraron las palabras clave robadas Aprobar En 2022. En un archivo legal esta semana, los agentes federales estadounidenses que investigan un espectacular apretón de criptomonedas de $ 150 millones dijeron que habían llegado a la misma conclusión.
El 6 de marzo, los fiscales federales en el norte de California dijeron que habían incautado alrededor de $ 24 millones en criptomonedas que habían sido recuperadas como resultado de un ciber cibernético de 150 millones de dólares, el 30 de enero de 2024. Zachxbt El vuelo fue perpetrado contra Chris LarsenEl cofundador de la plataforma de criptomonedas Onda.
Zachxbt fue el En primer lugar para informar sobre roboDe los cuales las autoridades se congelaron alrededor de $ 24 millones antes de que pudieran retirarse. La acción de esta semana del gobierno simplemente permite a los investigadores confiscar oficialmente los fondos congelados.
Pero hay una conclusión importante en este documento de crisis: esencialmente dice el Servicios secretos de EE. UU. y el FBI De acuerdo con las conclusiones de la historia de Breach Breach publicada aquí en septiembre de 2023. Esta pieza citó a los investigadores de seguridad que dijeron que fueron asistidos por inodoros criptográficos de seis dígitos varias veces que todos pensaron que fueron el resultado de que los delincuentes agrietaron las contraseñas maestras para las bóvedas de contraseña robadas en 2022.
“La Oficina Federal de Investigación ha investigado estas violaciones de datos, y los agentes de aplicación de la ley que investigaron el caso instantáneo hablaron con los agentes del FBI de su investigación”, dijo la queja de Crises, que fue escrita por un agente del Servicio Secreto Americano. “Según estas conversaciones, los agentes de aplicación de la ley en este caso aprendieron que los datos y contraseñas robados que se han almacenado en varias cuentas de gestión de contraseñas en línea de varias víctimas se utilizaron para ilegalmente y sin autorización, el acceso a las cuentas electrónicas de las víctimas y robar información, criptomonedas y otros datos”.
El documento continúa:
“Sobre la base de esta investigación, la policía tuvo una causa probable para creer que los mismos atacantes detrás del ataque comercial en línea anteriormente utilizaron una contraseña robada en la cuenta de gestión de contraseñas en línea de la víctima 1 y, sin autorización, el acceso a su cartera / cuenta de criptomonedas”.
Trabajar con docenas de víctimas, investigadores de seguridad Nick Bax Y Taylor Monahan Descubrió que ninguna de las víctimas cibernéticas de seis dígitos parecía haber sufrido los tipos de ataques que generalmente prefieren un vuelo criptográfico de alto dólar, como el compromiso de sus mensajes y / o cuentas de teléfonos móviles, o ataques de intercambio SIM.
Descubrieron que las víctimas tenían algo más en común: cada una había almacenado en un momento su sentencia de semillas de criptomonedas, el código secreto que permite a cualquiera acceder a sus activos de criptomonedas, en el área de “notas seguras” de su cuenta de último paso antes de las violaciones de la compañía 2022.
Bax y Monahan encontraron otro tema común con estos vuelos: todos siguieron un esquema similar para renovar fondos robados en movimiento rápidamente hacia un número vertiginoso de cuentas de otoño dispersas en varios intercambios de criptomonedas.
Según el gobierno, un nivel similar de complejidad estuvo presente en la rotura de $ 150 millones contra el cofundador de Ripple el año pasado.
“La escala de un vuelo y la rápida disipación de los fondos habría requerido los esfuerzos de varios actores maliciosos y estaba de acuerdo con las violaciones y ataques del administrador de contraseñas en línea contra otras víctimas cuya criptomoneda fue robada”, escribió el gobierno. “Por estas razones, los oficiales de policía creen que la criptomoneda robada de la víctima 1 fue cometida por los mismos atacantes que lideraron el ataque contra el gerente de contraseñas en línea y los vuelos de criptomonedas de otras víctimas ubicadas de manera similar”.
Afectado para comentar, LastPass dijo que no había visto ninguna evidencia final, investigadores federales u otros, que los ciberreadores en cuestión estaban vinculados a las violaciones de LastPass.
“Desde que inicialmente revelamos este incidente en 2022, LastPass trabajó en estrecha cooperación con varios representantes de la policía”, dijo LastPass en un comunicado. “Hasta la fecha, nuestros socios responsables de la aplicación de leyes no nos han dado a conocer ninguna evidencia concluyente que vincule cualquier robo de criptografía con nuestro incidente. Mientras tanto, hemos invertido mucho en mejorar nuestras medidas de seguridad y continuaremos haciéndolo. »»
25 de agosto de 2022, El CEO de LastPass Karim Toubba Los usuarios dijeron que la compañía había detectado una actividad inusual en su entorno de desarrollo de software y que los intrusos han robado un código fuente e información técnica del propietario. El 15 de septiembre de 2022, LastPass dijo que una investigación sobre la violación de agosto determinó que el atacante no había accedido a ningún datos del cliente o bóvedas de contraseña.
Pero el 30 de noviembre de 2022, LastPass informó a los clientes de otro incidente de seguridad mucho más grave que la compañía dijo que los datos solían ser robados durante la violación de agosto. LastPass reveló que los piratas informáticos criminales habían comprometido copias cifradas de ciertos cofres de contraseña, así como otra información personal.
Los expertos dicen que la violación habría dado a los ladrones acceso “fuera de línea” a bóvedas de contraseña cifradas, lo que les permite teóricamente todo el tiempo del mundo tratar de romper algunas de las contraseñas de maestría más bajas utilizando sistemas potentes que pueden probar millones de supuestos de contraseña por segundo.
Los investigadores señalaron que muchas víctimas cibernéticas habían elegido contraseñas de maestros con una complejidad relativamente baja y estaban entre los clientes más antiguos de LastPass. De hecho, los usuarios de Legacy LastPass tenían más probabilidades de tener contraseñas maestras que estaban protegidas con mucho menos “iteraciones”, lo que se refiere a la cantidad de veces que su contraseña se ejecuta a través de las rutinas de cifrado de la compañía. En general, cuanto más sea iteraciones, más necesitará un atacante fuera de línea para romper su contraseña maestra.
Con los años, LastPass ha obligado a nuevos usuarios a elegir contraseñas maestras más largas y complejas, y han aumentado el número de iteraciones varias veces por varios órdenes de magnitud. Pero los investigadores encontraron fuertes indicios de que LastPass nunca ha logrado mejorar muchos de sus clientes mayores a nuevos requisitos y protecciones de contraseña.
Cuando se le preguntó sobre las continuas negativas de LastPass, Bax dijo que después de la advertencia inicial en nuestra historia en 2023, esperaba ingenuamente que las personas migraran sus fondos a nuevas carteras de criptomonedas.
“Si bien algunos lo han hecho, los vuelos continuos enfatizan cuánto más hacer”, dijo Bax a Krebssurity. “Es válido ver los servicios secretos y el FBI corroboran nuestras conclusiones, pero prefiero ver menos de estos hacks en primer lugar. Zachxbt y El sello 911 informó otra ola de vuelos No más recientemente que diciembre, mostrar la amenaza sigue siendo muy real. »»
Monahan dijo que LastPass todavía no había alertado a sus clientes de que sus secretos, especialmente los almacenados en “notas seguras”, pueden estar en peligro.
“Han pasado dos años y medio desde que LastPass fue violado por primera vez [and] Cientos de millones de dólares han sido robados de individuos y empresas de todo el mundo “, dijo Monahan. “Podrían haber alentado a los usuarios a rotar su información de identificación. Podrían haber evitado que millones y millones de dólares fueran robados por estos actores de amenaza. Pero en lugar de eso, optaron por negar que sus clientes eran riesgos y culpaban a las víctimas. »»