Em um documento judicial apresentado no início deste mês, agentes federais dos Estados Unidos confirmaram que uma série de ciberassaltos de alto perfil, incluindo um roubo de criptomoedas de US$ 150 milhões, está vinculada à violação do serviço de gerenciamento de senhas LastPass em 2022. Os ataques envolvem a quebra de senhas mestras roubadas do LastPass, permitindo que os criminosos acessassem informações sensíveis, incluindo frases-semente de criptomoedas armazenadas na seção “Secure Notes” das contas das vítimas, segundo o site Krebs on Security, que tem acompanhado esses incidentes desde setembro de 2023.

O roubo de US$ 150 milhões, ocorrido em 30 de janeiro de 2024, teria como alvo Chris Larsen, cofundador da plataforma de criptomoedas Ripple, de acordo com o pesquisador de segurança blockchain ZachXBT. Procuradores federais no norte da Califórnia já apreenderam aproximadamente US$ 24 milhões em criptomoedas relacionadas a esse crime.

De acordo com o documento de apreensão, o Serviço Secreto dos EUA e o FBI acreditam que os atacantes usaram dados roubados do LastPass para acessar contas das vítimas sem autorização. Esse padrão é consistente com outros roubos de criptomoedas que envolvem valores de seis dígitos, onde as vítimas armazenavam suas frases-semente no LastPass antes da violação em 2022.

O jornalista Brian Krebs destaca que os pesquisadores de segurança Nick Bax e Taylor Monahan estão trabalhando com dezenas de vítimas e descobriram que nenhuma delas sofreu ataques preliminares comuns, como invasões de e-mail, ataques a contas de celular ou golpes de troca de SIM (SIM-swapping). Em vez disso, todas as vítimas armazenaram suas frases-semente no LastPass antes das violações, e os roubos seguiram um padrão semelhante: os fundos eram rapidamente movidos para várias contas de descarte espalhadas por diversas exchanges de criptomoedas.

A violação do LastPass em 2022 envolveu dois incidentes principais. Inicialmente, em 25 de agosto de 2022, o CEO da LastPass, Karim Toubba, anunciou que a empresa havia detectado atividades incomuns em seu ambiente de desenvolvimento de software, resultando no roubo de partes do código-fonte e informações técnicas proprietárias.

No entanto, em 15 de setembro de 2022, a LastPass afirmou que a investigação não encontrou evidências de acesso a dados de clientes ou cofres de senhas. Essa avaliação mudou em 30 de novembro de 2022, quando a empresa revelou que hackers haviam comprometido cópias criptografadas de alguns cofres de senhas e outras informações pessoais, utilizando dados roubados no ataque de agosto.

Essa violação deu aos criminosos acesso offline aos cofres criptografados, permitindo que tentassem quebrar senhas mestras mais fracas usando sistemas de computação de alto desempenho capazes de realizar milhões de tentativas por segundo. Muitas vítimas usavam senhas mestras de baixa complexidade e estavam entre os clientes mais antigos do LastPass.

Usuários antigos eram mais propensos a ter senhas mestras protegidas com um número menor de iterações – que é a quantidade de vezes que uma senha passa pelo processo de criptografia da empresa. Quanto maior o número de iterações, mais tempo um hacker levaria para quebrar a senha mestra offline. Com o tempo, o LastPass aumentou o número de iterações para novos usuários, exigindo senhas mais longas e complexas. No entanto, pesquisadores descobriram que muitos clientes antigos não foram atualizados para esses padrões de segurança mais rigorosos.

Apesar dessas descobertas, o LastPass afirma que não há provas definitivas ligando os roubos de criptomoedas às suas violações. A empresa diz estar colaborando com as autoridades e investindo em medidas de segurança aprimoradas.

No entanto, especialistas alertam que o LastPass não notificou adequadamente seus clientes sobre os riscos potenciais, especialmente sobre informações sensíveis armazenadas na seção “Secure Notes”. Eles argumentam que medidas mais proativas poderiam ter evitado milhões de dólares em perdas.

Nick Bax afirmou que, após o primeiro aviso, esperava que os usuários migrassem seus fundos para novas carteiras de criptomoedas. No entanto, os roubos contínuos mostram que muito mais precisa ser feito.

Já Taylor Monahan criticou a postura da empresa: “O LastPass poderia ter incentivado os usuários a mudar suas credenciais e evitado novos roubos, mas, em vez disso, escolheu negar os riscos e culpar as vítimas.”

A situação continua crítica, com relatos recentes de novos roubos ocorridos em dezembro.

• Veja também: Kaspersky: YouTubers são chantageados para promover malware de mineração de criptomoedas

O autor: Marcelo Roncate

Redator desde 2019. Entusiasta de tecnologia e criptomoedas.