Міжнародна поліцейська операція за участю 11 країн у середу, 11 червня, знешкодила кримінальну мережу AudiA6. З 2022 по 2025 рік організатори пропонували операторам вимагацького програмного забезпечення послугу відмивання грошей і за цей час провели через неї понад 336 млн євро (близько $390 млн) у криптовалюті. Паралельно закрито пов'язаний підпільний маркетплейс Dark2Web, де злочинці по всьому світу рекламували нелегальні послуги і вербували нових учасників схем.
Арешти, вилучення та перебіг операції
Двоє організаторів, громадянин Росії та громадянин України, заарештовані в Грузії. Обидва очікують рішення про екстрадицію до Сполучених Штатів. Агентство ЄС із кримінального судочинства Eurojust оголосило результати операції в четвер, 12 червня.
Слідчі конфіскували понад 25 доменів і більше 30 серверів, вилучили 80 транспортних засобів та заморозили приблизно $900 000 у криптовалюті. Відносно невелика сума замороженої крипти пояснюється операційною моделлю сервісу: AudiA6 не накопичував кошти на одному гаманці, а гнав їх через мережу транзитних рахунків, одразу розподіляючи далі. Компанія Chainalysis провела блокчейн-аналіз і встановила, що гаманці сервісу з 2021 року отримали близько 10 333 Bitcoin загальною вартістю $389 млн за курсом на момент кожної транзакції. Обидві версії сайту, у звичайному та темному інтернеті, тепер замінено сторінками Europol із повідомленнями про вилучення.
Як функціонував AudiA6
Сервіс працював за моделлю "mixer-as-a-service": клієнти передавали викупи або вкрадені кошти, AudiA6 "очищав" транзакції приблизно за годину і стягував комісію від 3% до 10%. Головною аудиторією були оператори програм-вимагачів, яким потрібно швидко вивести кошти і уникнути слідів на блокчейні.
Щоб обійти верифікацію на криптовалютних платформах, мережа покладалась на тисячі шахрайських акаунтів із вкраденими або купленими особистими даними. Eurojust повідомив, що слідчі ідентифікували понад 6 000 підроблених KYC-записів, прив'язаних до так званих "мул-рахунків". Більшість посередників, через яких рухались кошти, були русськомовними найманцями, спеціально завербованими для цієї ролі в обмін на відсоток від кожної операції.
Поруч із основним сервісом група керувала форумом Dark2Web. На ньому кіберзлочинці розміщували оголошення про нелегальні послуги, шукали технічних виконавців і залучали нових учасників до своїх схем. Закриття обох платформ разом стало частиною скоординованого задуму: позбавити мережу і операційного, і рекрутингового інструментів одночасно.
11 країн та дві координаційні структури
До операції залучили правоохоронні агентства зі США, Австралії, Франції, Польщі, Грузії, Ісландії, Канади, Німеччини, Японії, Швейцарії та Великої Британії. Координацію взяли на себе Eurojust та Europol. Транскордонний склад учасників пояснюється природою AudiA6: клієнти сервісу діяли у десятках країн, а жертви їхніх атак були розкидані по різних континентах.
Участь Австралійської федеральної поліції виявилась критичною для побудови обвинувачення. Вона встановила прямий зв'язок між конкретним кейсом ransomware 2024 року і гаманцями AudiA6, підтвердивши причинно-наслідковий зв'язок між діяльністю сервісу та реальними жертвами. Саме це зміцнило правову позицію для клопотання про екстрадицію до США.
Ransomware у 2026 році: тенденції не змінюються
Ліквідація AudiA6 збіглася з черговим загостренням проблеми вимагацького ПЗ. За підрахунками Emsisoft, у першому кварталі 2026 року атаки ransomware зафіксовано у 97 країнах. США залишаються найбільш ураженим ринком: на них припадає 64,7% усіх задокументованих жертв.
Check Point Research у травні 2026 зафіксував ще одну закономірність: ринок вимагачів концентрується навколо небагатьох великих операторів. Топ-10 груп забрали 71% усіх жертв у Q1 2026 року. Ліквідація сервісів відмивання ускладнює монетизацію атак і збільшує ризики для злочинців, проте слідчі не приховують: після кожної закритої платформи виникають нові, і боротьба залишатиметься тривалою.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *