TRM Labs  اعلام کرده مهاجمان با سوءاستفاده از رمزهای اصلی ضعیف، موفق شده‌اند خزانه‌های رمزگذاری‌شده کاربران را به‌صورت آفلاین رمزگشایی کرده و به کلیدهای خصوصی و عبارات بازیابی دسترسی پیدا کنند. به گفته این شرکت، شواهد موجود نشان می‌دهد گروه‌هایی از مجرمان سایبری روس‌تبار در این فعالیت‌ها نقش داشته‌اند و حتی یکی از صرافی‌های روسی تا ماه اکتبر امسال دریافت‌کننده وجوهی بوده که منشأ آن‌ها به LastPass بازمی‌گردد.
 
این ارزیابی بر پایه مجموعه‌ای از شواهد درون‌زنجیره‌ای انجام شده که شامل ارتباط مکرر با زیرساخت‌های مرتبط با روسیه، تداوم کنترل کیف‌پول‌ها پیش و پس از استفاده از میکسرها و همچنین استفاده مستمر از صرافی‌های پرریسک روسی برای نقد کردن دارایی‌هاست.
 
LastPass  در سال ۲۰۲۲ هدف یک حمله گسترده قرار گرفت که به مهاجمان اجازه داد به اطلاعات شخصی کاربران، از جمله نسخه‌های پشتیبان رمزگذاری‌شده خزانه‌های رمز عبور آن‌ها دسترسی پیدا کنند. این خزانه‌ها حاوی داده‌های بسیار حساسی مانند کلیدهای خصوصی رمزارز و عبارات بازیابی بودند.
 
اوایل همین ماه، دفتر کمیسر اطلاعات بریتانیا (ICO) این شرکت را به دلیل ناتوانی در پیاده‌سازی تدابیر فنی و امنیتی کافی برای جلوگیری از این حادثه، ۱.۶ میلیون دلار جریمه کرد. در زمان افشای نفوذ نیز LastPass هشدار داده بود که مهاجمان ممکن است با استفاده از حملات brute-force رمزهای اصلی کاربران را حدس بزنند و داده‌های سرقت‌شده را رمزگشایی کنند؛ هشداری که یافته‌های جدید TRM Labs نشان می‌دهد در عمل محقق شده است.
 
به گفته این شرکت، هر خزانه‌ای که با یک رمز اصلی ضعیف محافظت شده باشد، در نهایت می‌تواند به‌صورت آفلاین رمزگشایی شود و همین موضوع باعث شده یک نفوذ واحد در سال ۲۰۲۲ به یک فرصت چندساله برای مهاجمان تبدیل شود؛ فرصتی که طی آن، آن‌ها به‌صورت آرام و تدریجی رمزها را شکسته و دارایی‌ها را تخلیه کرده‌اند. TRM Labs تأکید کرده بسیاری از کاربران در این مدت رمزهای خود را تغییر نداده یا امنیت خزانه‌هایشان را ارتقا نداده‌اند و همین مسئله باعث شده سرقت‌ها حتی تا اواخر ۲۰۲۵ نیز ادامه پیدا کند.
 
بررسی‌ها نشان می‌دهد ارتباط وجوه سرقت‌شده با روسیه عمدتاً از دو مسیر شکل گرفته است: استفاده از صرافی‌هایی که به‌طور معمول با اکوسیستم جرایم سایبری روسیه مرتبط هستند و همچنین ارتباطات عملیاتی میان کیف‌پول‌هایی که پیش و پس از فرآیند میکس و پول‌شویی با یکدیگر تعامل داشته‌اند.
 
در مجموع بیش از ۳۵ میلیون دلار دارایی دیجیتال سرقت‌شده ردیابی شده که از این میزان، حدود ۲۸ میلیون دلار به بیت‌کوین تبدیل و بین اواخر ۲۰۲۴ تا اوایل ۲۰۲۵ از طریق کیف‌پول Wasabi پول‌شویی شده است. حدود ۷ میلیون دلار دیگر نیز به موج بعدی سرقت‌ها مربوط می‌شود که در سپتامبر ۲۰۲۵ شناسایی شده‌اند.
 
بر اساس گزارش TRM Labs، این وجوه از مسیر Cryptomixer.io عبور داده شده و در نهایت از طریق دو صرافی روسی Cryptex و Audia6 نقد شده‌اند؛ صرافی‌هایی که سابقه ارتباط با فعالیت‌های غیرقانونی دارند. گفتنی است Cryptex در سپتامبر ۲۰۲۴ از سوی وزارت خزانه‌داری آمریکا به دلیل دریافت بیش از ۵۱.۲ میلیون دلار وجوه نامشروع حاصل از حملات باج‌افزاری، تحریم شده بود. با وجود استفاده مهاجمان از تکنیک CoinJoin برای دشوارتر کردن ردیابی تراکنش‌ها، این شرکت توانسته با تحلیل الگوهای برداشت خوشه‌ای و زنجیره‌های موسوم به «peeling»، جریان بیت‌کوین‌های میکس‌شده را تا رسیدن به صرافی‌ها شناسایی کند.
 
آری ردبورد، رئیس جهانی سیاست‌گذاری TRM Labs، در این‌باره گفت این پرونده نمونه روشنی است از اینکه چگونه یک رخنه امنیتی واحد می‌تواند به یک کارزار سرقت چندساله تبدیل شود. او تأکید کرد حتی زمانی که از میکسرها استفاده می‌شود، الگوهای عملیاتی، استفاده مجدد از زیرساخت‌ها و نحوه نقد کردن دارایی‌ها می‌تواند هویت عاملان اصلی را آشکار کند.
 
به گفته ردبورد، صرافی‌های پرریسک روسی همچنان نقش گذرگاه‌های اصلی برای نقد کردن درآمدهای جرایم سایبری در سطح جهان را ایفا می‌کنند و این پرونده نشان می‌دهد چرا تحلیل‌های عمیق به ابزارهایی حیاتی برای شناسایی و مقابله با این فعالیت‌ها تبدیل شده‌اند.

اعتماد صفر یا اصل کمترین میزان دسترسی، یکی از چارچوب‌هایی است که بسیاری از کارشناسان امنیت سایبری اشتیاق و هیجان زیادی نسبت به آن دارند. در این مدل امنیتی به صورت پیش‌فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی­‌شود و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ و بیرون شبکه) کاربران و دستگاه‌­ها باید احراز هویت شده و دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف شود.

اعتماد صفر یک چارچوب کلیدی است که تیم‌های امنیت سایبری با کمک آن می‌توانند با تهدیدات سایبری پیشرفته امروزی و شرایط دورکاری همگام شده و از کارکنان دورکار و کارمندانی که درون محیط سازمان مشغول به کار هستند، محفاظت کنند. بخش امنیت سایبری با استفاده از رویکرد اعتماد صفر فرض می‌کند که هر محتوایی، صرف نظر از قابل اعتماد بودن منبع آن غیرقابل اطمینان است.

ایجاد یک چارچوب اعتماد صفر نیازمند پیاده‌سازی کنترل‌ها و فناوری‌های خاصی در حوزه فناوری اطلاعات، شبکه‌، نقاط انتهایی و غیره است. یکی از روش‌های جدید برای پیاده‌سازی این رویکرد، استفاده از معماری لبه خدمت دسترسی امن (SASE[1]) در سطح سازمان می‌باشد. سایر روش‌ها بر روی جداسازی عناصر کلیدی همچون شبکه‌های سازمانی و برنامه‌های کاربردی متمرکز هستند. هدف از اجرای این سیاست‌ها فراهم نمودن امکان دورکاری، آن هم به روشی امن است.