Hakerzy stojący za włamaniem do LastPass są ciągle na fali — dwa lata po ich początkowym ataku.
Poważne naruszenie danych w firmie zarządzającej hasłami LastPass w 2022 roku wciąż powoduje chaos dwa lata później, gdy cyberprzestępcy wykorzystują skradzione informacje do przeprowadzania kolejnych ataków.
Według danych zebranych przez badacza kryptowalut ZachXBT, hakerzy ukradli 12,38 miliona dolarów w kryptowalutach od użytkowników LastPass w dniach 16 i 17 grudnia.
Zgodnie z analizą napastnicy opróżnili prawie 150 indywidualnych adresów ofiar, a ZachXBT zauważył, że skradzione pieniądze zostały szybko zamienione na różne waluty i wyprowadzone.
„Skradzione środki zostały zamienione na ETH i przetransferowane do różnych natychmiastowych giełd z Ethereum na Bitcoin” — napisał ZachXBT na swoim kanale Telegram.
Ta aktywność jest najnowszym przykładem działalności przestępczej związanej z włamaniem do LastPass z 2022 roku, gdy cyberprzestępcy ukradli około 4,4 miliona dolarów od ponad 25 ofiar 25 października 2023 roku.
Przekazując wiadomość, ZachXBT wezwał czytelników do przeniesienia swoich kryptowalut, jeśli mogły zostać dotknięte incydentem LastPass. Zalecane jest też korzystanie z bezpiecznych narzędzi do komunikacji, takich jak ProtonMail.
„Nie mogę tego wystarczająco podkreślić, jeśli uważasz, że kiedykolwiek przechowywałeś swoją frazę seed lub klucze w LastPass, natychmiast przenieś swoje aktywa kryptowalutowe”.
Jamie Moles, starszy menedżer techniczny w ExtraHop, powiedział, że długotrwałe skutki naruszeń cybernetycznych stają się zbyt dobrze znane, zauważając, że prawdopodobnie prawdziwa skala skutków związanych z incydentem nie została jeszcze w pełni zrozumiana.
„To jest tylko najnowszy z ciągłego strumienia kradzieży kryptowalut dotykających ofiary włamania do LastPass. Z nowymi informacjami, które wychodzą na jaw dwa lata później, możemy założyć, że wciąż nie rozumiemy pełnego zakresu szkód” — wyjaśnił.
„Długotrwałe skutki ataków na nawet najbardziej zaawansowane organizacje podkreślają, jak ważne jest, aby od początku dobrze zabezpieczyć cyberbezpieczeństwo. Wiemy, że będą pojawiać się nowe exploity i nieznane zagrożenia dla organizacji sektora publicznego i prywatnego. Używanie sygnatur i reguł do wykrywania znanych wektorów ataku nie wystarcza i nie wystarczało od dłuższego czasu.”
Co się stało z włamaniem do LastPass?
Pierwotny incydent, który prawdopodobnie rozpoczął się w sierpniu 2022 roku, polegał na tym, że hakerzy wykorzystali skradzione informacje z naruszonego środowiska deweloperskiego, aby ostatecznie zdobyć tokeny API, nasiona MFA, klucze klientów i kod źródłowy.
25 sierpnia 2022 roku Karim Toubba, CEO LastPass, opublikował zawiadomienie ostrzegające użytkowników, że wykryto podejrzaną aktywność wewnątrz środowiska deweloperskiego firmy.
„Ustaliliśmy, że nieautoryzowana strona uzyskała dostęp do części środowiska deweloperskiego LastPass poprzez jedno naruszone konto dewelopera i zabrała części kodu źródłowego oraz niektóre zastrzeżone informacje techniczne LastPass. Nasze produkty i usługi działają normalnie”.
— Karim Toubba, CEO LastPass
Chociaż firma twierdziła, że we wrześniu nie doszło do naruszenia informacji o klientach ani hasłach, Toubba wydał oświadczenie 30 listopada ostrzegające, że hakerzy wykorzystali skradzione informacje z sierpnia, aby uzyskać dostęp do zewnętrznej usługi przechowywania w chmurze.
W grudniu 2022 roku LastPass odkrył, że hakerzy byli w stanie uzyskać dostęp do informacji o kontach klientów LastPass oraz kopii zapasowych danych z sejfów klientów.
Kompromitowane dane obejmowały „niezaszyfrowane dane, takie jak adresy URL stron internetowych, a także w pełni zaszyfrowane pola wrażliwe, takie jak nazwy użytkowników i hasła do stron internetowych, bezpieczne notatki i dane wypełniane w formularzach.”
Wreszcie, w marcu 2023 roku LastPass ujawnił, że sprawcy ataku uzyskali dostęp do osobistego urządzenia używanego przez starszego inżyniera DevOps po rzekomym wykorzystaniu luki w ich oprogramowaniu Plex Media.
Hakerzy wydawali się szukać kluczy deszyfrujących, które mogliby użyć do uzyskania dostępu do sejfów klientów, które ukradli w listopadzie 2022 roku.
Wygląda na to, że te działania były w dużej mierze udane, ponieważ grupa kontynuowała swoją falę, opróżniając konta kryptowalutowe użytkowników dotkniętych włamaniem lata po fakcie, podkreślając „długotrwały efekt” jaki mogą mieć naruszenia.
Czytaj też:
