10 червня 2026 року європейські правоохоронні органи за координації Europol ліквідували AudiA6 — сервіс з відмивання криптовалюти промислового масштабу, через який з 2021 року було проведено понад €336 млн (~$389 млн) незаконних коштів. Сервіс використовувався угрупованнями-вимагачами та іншими кіберзлочинними мережами для конвертації викрадених цифрових активів у «чисті» кошти. У Грузії заарештовано двох імовірних адміністраторів, вилучено сервери, домени та майно. Міністерство юстиції США висунуло обвинувачення обом затриманим — їм загрожує до 20 років позбавлення волі.
Хронологія та масштаб операції
Як повідомив Europol, ліквідація AudiA6 стала результатом попередньої операції польської поліції: у вересні 2025 року в Польщі був затриманий громадянин України, якого підозрювали у причетності до відмивання коштів через AudiA6. Криміналістична експертиза вилучених у нього електронних пристроїв дозволила ідентифікувати додаткових учасників мережі та підготувати скоординовану операцію.
У ході дій 10 червня 2026 року були проведені такі заходи:
- Арешт двох імовірних адміністраторів — громадян України та Росії — на території Грузії
- Три обшуки в приміщеннях, пов’язаних з операцією
- Ліквідація 25 доменів та вилучення понад 30 серверів
- Конфіскація понад 80 транспортних засобів і кількох об’єктів нерухомості в Грузії
- Заморожування криптоактивів на суму €692 000 ($798 000) та вилучення €86 000 ($99 400) у криптовалюті
- Блокування Telegram-акаунтів, які використовувала мережа
- Заміна вебсайтів AudiA6 і Dark2Web (як у відкритому інтернеті, так і в даркнеті) банером про конфіскацію
Обвинувачення та судове переслідування
Міністерство юстиції США висунуло обвинувачення двом заарештованим: Руслану Ігоровичу Ткачуку (37 років) і Олександру Володимировичу Леденьову (25 років). Кожному інкримінують один епізод змови з метою відмивання грошових коштів і один епізод провокаційного відмивання (sting money laundering). Максимальне покарання — 20 років позбавлення волі.
За даними Мін’юсту США, з приблизно 10 333 біткоїнів, депонованих через AudiA6, близько 393,39 BTC (оцінених на момент транзакцій приблизно у $19,2 млн) надійшли безпосередньо від відомих даркнет-маркетплейсів, угруповань-вимагачів, кіберзлочинних сервісів та інших нелегальних джерел. Додаткові кошти надходили на гаманці AudiA6 опосередковано — через проміжні ланки.
Механізм роботи AudiA6
AudiA6 позиціонувався як сервіс мікшування криптовалюти, що гарантує анонімність і швидкість. Клієнти переказували незаконно отримані кошти на гаманці, що контролювалися групою, і протягом години отримували «очищені» кошти через складний ланцюжок транзакцій, призначений для приховування походження грошей. Комунікація велася через приватні месенджери, комісія становила від 3% до 10%.
Ключовий елемент інфраструктури — тисячі шахрайських акаунтів на криптобіржах, відкритих із використанням викрадених або куплених персональних даних. У ході розслідування було виявлено понад 6 000 записів KYC (Know Your Customer), пов’язаних з акаунтами підставних осіб. За даними Europol, багато з цих акаунтів були пов’язані з російськомовними посередниками, яких цілеспрямовано залучали для переміщення злочинних коштів через криптобіржі.
Для реєстрації підставних акаунтів оператори використовували як комерційних поштових провайдерів, так і адреси електронної пошти на доменах, що перебували під їхнім контролем.
Домени поштової інфраструктури AudiA6
- designli.pictures, pheontx.eu, smplfy.in, sumato-soft.org, technobrains.dev
- lett.email, trayo.app, deliverly.top, inboxly.top, postfast.eu
- postino.click, inboxally.agency, mailora.eu, postify.email, quix.express
- flowcomm.click, qube.black, deliverlett.com, lettermail.eu
Зв’язок із Dark2Web та масштаб розслідувань
За даними Europol, ймовірно оператори AudiA6 також адміністрували даркнет-форум Dark2Web, на якому кіберзлочинці рекламували нелегальні послуги та встановлювали контакти з іншими учасниками загроз по всьому світу. Цей зв’язок поки що не підтверджений незалежними джерелами й подається правоохоронцями як підозра.
Сервіс фігурує більш ніж у 15 розслідуваннях у всьому світі, пов’язаних з атаками вимагальників і масштабними крадіжками криптовалюти. У розслідуванні брали участь Секретна служба США, Податкова служба США (IRS Criminal Investigation), польська поліція та правоохоронні органи Австралії, Канади, Франції, Грузії, Німеччини, Ісландії, Японії, Швейцарії та Великої Британії.
Оцінка впливу та тенденції
Ліквідація AudiA6 — одна з найбільших операцій проти інфраструктури відмивання криптовалюти за останні роки. Сервіс обслуговував не окреме угруповання, а цілу екосистему: вимагальники, оператори даркнет-маркетплейсів, організатори крадіжок криптовалюти — усі використовували єдиний конвеєр для конвертації викрадених коштів.
Europol підкреслює зростаючу тенденцію: угруповання вимагальників і кіберзлочинні мережі дедалі активніше використовують міжблокчейнові перекази (chain-hopping), децентралізовані біржі та платформи «мікшування як послуга» для переміщення незаконної криптовалюти між кількома блокчейнами за лічені хвилини.
Практичні рекомендації
- Криптобіржам і фінансовим платформам: перевірити свої бази акаунтів на предмет реєстрацій із перелічених вище 19 доменів. Акаунти, зареєстровані через ці домени, з високою ймовірністю є підставними
- Командам комплаєнсу: посилити верифікацію KYC-документів, звертаючи увагу на ознаки масової реєстрації — однотипні шаблони документів, реєстрація з доменів, що не належать великим поштовим провайдерам
- Аналітикам блокчейна: додати адреси гаманців AudiA6 (у міру їх публікації правоохоронцями) до списків моніторингу для відстеження залишкових транзакцій
- Фахівцям із реагування на інциденти: під час розслідування атак із вимаганням враховувати AudiA6 як один із каналів виведення коштів і перевіряти перетини з відомими адресами сервісу
Ліквідація AudiA6 демонструє, що правоохоронні органи здатні відстежувати й руйнувати навіть складні багаторівневі схеми відмивання криптовалюти, однак сам факт п’ятирічного функціонування сервісу з оборотом у сотні мільйонів євро вказує на системний розрив між швидкістю створення кримінальної інфраструктури та темпами її виявлення. Криптобіржам слід негайно перевірити свої бази на наявність акаунтів, пов’язаних із переліченими доменами, і посилити процедури верифікації, щоб запобігти повторному використанню аналогічних схем.
