Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
AudiA6 to usługa prania kryptowalut, z której według śledczych korzystały grupy ransomware oraz inne podmioty cyberprzestępcze, aby ukrywać pochodzenie środków cyfrowych. Tego typu infrastruktura odgrywa kluczową rolę w ekosystemie cyberprzestępczości, ponieważ pozwala zacierać ślady po wymuszeniach, kradzieżach aktywów i transakcjach powiązanych z rynkami darknetowymi.
W praktyce usługi tego rodzaju nie ograniczają się wyłącznie do prostego mieszania środków. Coraz częściej działają jako rozbudowane zaplecze finansowe, łączące transfery on-chain, konta słupów, fałszywe tożsamości i wieloetapowe operacje cash-out, których celem jest utrudnienie analizy przepływu pieniędzy.
W skrócie
Międzynarodowa operacja organów ścigania doprowadziła do zakłócenia działania AudiA6, który od 2021 roku miał wyprać ponad 336 mln euro, czyli około 389 mln dolarów. W ramach działań zatrzymano dwóch podejrzanych administratorów w Gruzji, przeprowadzono przeszukania oraz zajęto infrastrukturę techniczną i aktywa powiązane z działalnością usługi.
- zatrzymano dwóch domniemanych administratorów,
- zajęto ponad 30 serwerów i 25 domen,
- zabezpieczono kryptowaluty, pojazdy i nieruchomości,
- śledczy powiązali platformę z ponad 15 dochodzeniami dotyczącymi ransomware i kradzieży kryptowalut.
Kontekst / historia
Usługi określane jako mixer, swapping hub lub laundering-as-a-service od lat stanowią ważny element finansowego zaplecza cyberprzestępczości. Ich celem jest nie tylko mieszanie monet, ale również rozbijanie czytelnej ścieżki transakcyjnej poprzez wiele portfeli, giełd, pośredników i transferów między różnymi łańcuchami bloków.
Według ustaleń śledczych AudiA6 działał jako przemysłowa platforma do ukrywania pochodzenia środków pochodzących między innymi z ransomware, oszustw i innych przestępstw cyfrowych. Operacja przeciwko tej infrastrukturze była rozwinięciem wcześniejszych działań prowadzonych przez organy ścigania w kilku państwach, w tym wcześniejszych ustaleń z udziałem polskich służb.
Istotnym momentem śledztwa było zatrzymanie podejrzanego we wrześniu 2025 roku. Analiza zabezpieczonych urządzeń i danych operacyjnych miała umożliwić identyfikację kolejnych osób, kont i elementów infrastruktury powiązanych z AudiA6. Śledczy wskazują, że platforma nie była niszowym narzędziem, lecz ważnym węzłem finansowym obsługującym wiele kampanii przestępczych.
Analiza techniczna
Z technicznego punktu widzenia AudiA6 nie działał wyłącznie jak klasyczny mixer. Model operacyjny polegał na przyjmowaniu kryptowalut od klientów, a następnie odsyłaniu środków po przejściu przez złożony łańcuch transakcji zaprojektowany w celu zerwania prostych powiązań analitycznych. Według opisu śledczych środki wracały do klientów nawet w ciągu godziny, po potrąceniu prowizji wynoszącej od 3 do 10 procent.
Kluczowe znaczenie miała skala operacji. Dochodzenie wykazało wykorzystanie tysięcy fałszywych kont na giełdach kryptowalut, zakładanych z użyciem skradzionych lub zakupionych tożsamości. Oznacza to, że AudiA6 łączył mechanizmy prania on-chain z obchodzeniem procedur KYC i AML stosowanych przez legalne platformy wymiany.
W toku śledztwa zidentyfikowano ponad 6 tys. rekordów KYC powiązanych z rachunkami słupów. To pokazuje, że działalność platformy opierała się nie tylko na automatyzacji blockchainowej, ale także na zapleczu organizacyjnym obejmującym pośredników, konta rejestrowane na fałszywe dane oraz narzędzia komunikacyjne służące do zarządzania operacją.
Amerykańscy śledczy wskazali również, że do portfeli powiązanych z AudiA6 trafiło około 10 333 BTC. Z tej puli około 393,39 BTC miało pochodzić bezpośrednio ze znanych rynków darknetowych, grup ransomware, usług cyberprzestępczych i innych nielegalnych źródeł. To istotny szczegół, ponieważ wskazuje na wykorzystanie analizy blockchain opartej zarówno na wzorcach behawioralnych, jak i na bezpośrednich powiązaniach z oznaczonymi adresami wysokiego ryzyka.
Podczas operacji przeprowadzonej 10 czerwca 2026 roku organy ścigania zatrzymały dwóch domniemanych administratorów narodowości ukraińskiej i rosyjskiej w Gruzji, zajęły serwery i domeny oraz zablokowały konta wykorzystywane w komunikatorach. Strony związane z AudiA6 i forum Dark2Web zostały zastąpione komunikatem o przejęciu przez organy ścigania, co oznacza jednoczesne uderzenie w warstwę infrastrukturalną, komunikacyjną i finansową.
Konsekwencje / ryzyko
Rozbicie AudiA6 ma znaczenie wykraczające poza pojedynczą sprawę kryminalną. Tego rodzaju usługi są jednym z kluczowych komponentów modelu biznesowego ransomware, ponieważ umożliwiają monetyzację ataków. Gdy operatorzy nie mogą skutecznie wyprać środków, rosną ich koszty operacyjne, wydłuża się czas realizacji zysków i zwiększa się ryzyko identyfikacji uczestników łańcucha finansowego.
Dla obrońców i zespołów śledczych to sygnał, że połączenie analizy blockchain, danych KYC, przejęć serwerów oraz współpracy międzynarodowej staje się coraz skuteczniejszym narzędziem walki z cyberprzestępczością finansową. Z drugiej strony należy zakładać, że grupy przestępcze będą reagować większym wykorzystaniem transferów cross-chain, zdecentralizowanych giełd, usług zwiększających prywatność oraz bardziej rozproszonej infrastruktury pośredników.
Ryzyko nie dotyczy wyłącznie operatorów ransomware. Firmy z sektora finansowego, giełdy kryptowalut, dostawcy usług VASP i zespoły compliance muszą liczyć się z tym, że konta zakładane na cudze dane, syntetyczne tożsamości i rachunki słupów pozostają skutecznym sposobem obchodzenia mechanizmów AML.
Rekomendacje
Organizacje odpowiedzialne za cyberbezpieczeństwo i bezpieczeństwo finansowe powinny rozwijać mechanizmy wykrywania wzorców charakterystycznych dla przemysłowego prania kryptowalut. Dotyczy to zwłaszcza szybkich transferów przez wiele portfeli, powtarzalnych schematów cash-out, aktywności cross-chain oraz korelacji z adresami oznaczonymi jako wysokiego ryzyka.
- wzmacniać monitoring transakcji blockchain i analitykę ryzyka adresów,
- rozwijać kontrole KYC odporne na skradzione tożsamości i syntetyczne profile,
- łączyć sygnały behawioralne, reputację urządzeń i zależności sieciowe między kontami,
- traktować infrastrukturę finansową jako pełnoprawny element łańcucha ataku ransomware,
- zacieśniać współpracę między zespołami SOC, DFIR, threat intelligence, compliance i działami prawnymi.
Dostawcy usług kryptowalutowych powinni szczególnie skupić się na wykrywaniu nadużyć związanych z masową rejestracją kont, wykorzystaniem rachunków słupów i próbami obejścia procedur zgodności. Sprawa AudiA6 pokazuje, że skuteczne przeciwdziałanie takim operacjom wymaga łączenia danych technicznych, dowodów cyfrowych i informacji finansowych.
Podsumowanie
Operacja przeciwko AudiA6 pokazuje, że organy ścigania coraz skuteczniej uderzają nie tylko w operatorów ataków, ale również w zaplecze usługowe umożliwiające monetyzację cyberprzestępczości. To właśnie takie platformy są jednym z najważniejszych filarów ekosystemu ransomware i innych form przestępczości cyfrowej.
Z perspektywy branży cyberbezpieczeństwa najważniejszy wniosek jest jasny: walka z ransomware nie kończy się na analizie malware, TTP i infrastrukturze C2. Coraz większe znaczenie ma identyfikacja oraz zakłócanie finansowych łańcuchów wartości, które pozwalają przestępcom przekształcać skradzione dane i wymuszone okupy w pozornie legalne aktywa.
Źródła
- The Hacker News – Europol Disrupts AudiA6 Crypto Laundering Service Used by Ransomware Gangs
- United States Department of Justice – Two Charged in Connection With Cryptocurrency Money Laundering Service That Allegedly Laundered Over $389 Million in Unlawful Transactions
- Australian Federal Police – AFP assists Europol disruption of $542 million money laundering operation
- Help Net Security – Authorities dismantle crypto laundering service that moved €336 million for cybercriminals
- TRM Labs – International Operation Dismantles EUR 336 Million Ransomware Laundering Pipeline AudiA6