10 июня 2026 года европейские правоохранительные органы при координации Europol ликвидировали AudiA6 — сервис отмывания криптовалюты промышленного масштаба, через который с 2021 года было проведено более €336 млн (~$389 млн) незаконных средств. Сервис использовался группировками вымогателей и другими киберпреступными сетями для конвертации похищенных цифровых активов в «чистые» средства. В Грузии арестованы два предполагаемых администратора, изъяты серверы, домены и имущество. Министерство юстиции США предъявило обвинения обоим задержанным — им грозит до 20 лет лишения свободы.
Хронология и масштаб операции
Как сообщил Europol, ликвидация AudiA6 стала результатом более ранней операции польской полиции: в сентябре 2025 года в Польше был задержан гражданин Украины, подозреваемый в причастности к отмыванию средств через AudiA6. Криминалистическая экспертиза изъятых у него электронных устройств позволила идентифицировать дополнительных участников сети и подготовить скоординированную операцию.
В ходе действий 10 июня 2026 года были проведены следующие мероприятия:
- Арест двух предполагаемых администраторов — граждан Украины и России — на территории Грузии
- Три обыска в помещениях, связанных с операцией
- Ликвидация 25 доменов и изъятие более 30 серверов
- Конфискация более 80 транспортных средств и нескольких объектов недвижимости в Грузии
- Заморозка криптоактивов на сумму €692 000 ($798 000) и изъятие €86 000 ($99 400) в криптовалюте
- Блокировка Telegram-аккаунтов, используемых сетью
- Замена веб-сайтов AudiA6 и Dark2Web (как в открытом интернете, так и в даркнете) баннером о конфискации
Обвинения и судебное преследование
Министерство юстиции США предъявило обвинения двум арестованным: Руслану Игоревичу Ткачуку (37 лет) и Александру Владимировичу Леденёву (25 лет). Каждому вменяется один эпизод сговора с целью отмывания денежных средств и один эпизод провокационного отмывания (sting money laundering). Максимальное наказание — 20 лет лишения свободы.
По данным Минюста США, из примерно 10 333 биткоинов, депонированных через AudiA6, около 393,39 BTC (оценённых на момент транзакций примерно в $19,2 млн) поступили напрямую от известных даркнет-маркетплейсов, вымогательских группировок, киберпреступных сервисов и других нелегальных источников. Дополнительные средства поступали в кошельки AudiA6 опосредованно — через промежуточные звенья.
Механизм работы AudiA6
AudiA6 позиционировался как сервис микширования криптовалюты, гарантирующий анонимность и скорость. Клиенты переводили незаконно полученные средства на кошельки, контролируемые группой, и в течение часа получали «очищенные» средства через сложную цепочку транзакций, предназначенную для сокрытия происхождения денег. Коммуникация велась через приватные мессенджеры, комиссия составляла от 3% до 10%.
Ключевой элемент инфраструктуры — тысячи мошеннических аккаунтов на криптобиржах, открытых с использованием украденных или купленных персональных данных. В ходе расследования было выявлено более 6 000 записей KYC (Know Your Customer), связанных с аккаунтами подставных лиц. По данным Europol, многие из этих аккаунтов были связаны с русскоязычными посредниками, целенаправленно привлечёнными для перемещения преступных средств через криптобиржи.
Для регистрации подставных аккаунтов операторы использовали как коммерческих почтовых провайдеров, так и адреса электронной почты на доменах, находившихся под их контролем.
Домены почтовой инфраструктуры AudiA6
- designli.pictures, pheontx.eu, smplfy.in, sumato-soft.org, technobrains.dev
- lett.email, trayo.app, deliverly.top, inboxly.top, postfast.eu
- postino.click, inboxally.agency, mailora.eu, postify.email, quix.express
- flowcomm.click, qube.black, deliverlett.com, lettermail.eu
Связь с Dark2Web и масштаб расследований
По данным Europol, предположительно операторы AudiA6 также администрировали даркнет-форум Dark2Web, на котором киберпреступники рекламировали нелегальные услуги и устанавливали контакты с другими участниками угроз по всему миру. Эта связь пока не подтверждена независимыми источниками и представлена правоохранителями как подозрение.
Сервис фигурирует более чем в 15 расследованиях по всему миру, связанных с атаками вымогателей и крупномасштабными кражами криптовалюты. В расследовании участвовали Секретная служба США, Налоговая служба США (IRS Criminal Investigation), польская полиция и правоохранительные органы Австралии, Канады, Франции, Грузии, Германии, Исландии, Японии, Швейцарии и Великобритании.
Оценка воздействия и тенденции
Ликвидация AudiA6 — одна из крупнейших операций против инфраструктуры отмывания криптовалюты за последние годы. Сервис обслуживал не отдельную группировку, а целую экосистему: вымогатели, операторы даркнет-маркетплейсов, организаторы краж криптовалюты — все использовали единый конвейер для конвертации похищенных средств.
Europol подчёркивает нарастающую тенденцию: группировки вымогателей и киберпреступные сети всё активнее используют межблокчейновые переводы (chain-hopping), децентрализованные биржи и платформы «микширование как услуга» для перемещения незаконной криптовалюты между несколькими блокчейнами за считанные минуты.
Практические рекомендации
- Криптобиржам и финансовым платформам: проверить свои базы аккаунтов на предмет регистраций с перечисленных выше 19 доменов. Аккаунты, зарегистрированные через эти домены, с высокой вероятностью являются подставными
- Командам комплаенса: усилить верификацию KYC-документов, обращая внимание на признаки массовой регистрации — однотипные шаблоны документов, регистрация с доменов, не принадлежащих крупным почтовым провайдерам
- Аналитикам блокчейна: добавить адреса кошельков AudiA6 (по мере их публикации правоохранителями) в списки мониторинга для отслеживания остаточных транзакций
- Специалистам по реагированию на инциденты: при расследовании вымогательских атак учитывать AudiA6 как один из каналов вывода средств и проверять пересечения с известными адресами сервиса
Ликвидация AudiA6 демонстрирует, что правоохранительные органы способны отслеживать и разрушать даже сложные многоуровневые схемы отмывания криптовалюты, однако сам факт пятилетнего функционирования сервиса с оборотом в сотни миллионов евро указывает на системный разрыв между скоростью создания криминальной инфраструктуры и темпами её выявления. Криптобиржам следует незамедлительно проверить свои базы на наличие аккаунтов, связанных с перечисленными доменами, и усилить процедуры верификации для предотвращения повторного использования аналогичных схем.
