Международная полицейская операция при участии 11 стран в среду, 11 июня, ликвидировала криминальную сеть AudiA6. С 2022 по 2025 год организаторы предоставляли операторам программ-вымогателей услугу отмывания денег и за это время провели через нее более 336 млн евро (около $390 млн) в криптовалюте. Параллельно закрыт связанный подпольный маркетплейс Dark2Web, где преступники со всего мира рекламировали нелегальные услуги и вербовали новых участников схем.
Аресты, изъятия и ход операции
Двое организаторов, гражданин России и гражданин Украины, задержаны в Грузии. Оба ожидают решения об экстрадиции в Соединенные Штаты. Агентство ЕС по вопросам уголовного судопроизводства Eurojust объявило о результатах операции в четверг, 12 июня.
Следователи конфисковали более 25 доменов и свыше 30 серверов, изъяли 80 транспортных средств и заморозили примерно $900 000 в криптовалюте. Небольшая сумма замороженной крипты объясняется операционной моделью сервиса: AudiA6 не накапливал средства на одном кошельке, а прогонял их через сеть транзитных счетов, сразу распределяя дальше. Компания Chainalysis провела блокчейн-анализ и установила, что кошельки сервиса с 2021 года получили около 10 333 Bitcoin общей стоимостью $389 млн по курсу на момент каждой транзакции. Обе версии сайта, в открытом и темном интернете, теперь заменены страницами Europol с сообщениями об изъятии.
Как работал AudiA6
Сервис работал по модели "mixer-as-a-service": клиенты передавали выкупы или похищенные средства, AudiA6 "очищал" транзакции примерно за час и брал комиссию от 3% до 10%. Главной аудиторией были операторы программ-вымогателей, которым нужно быстро вывести средства и убрать следы в блокчейне.
Чтобы обойти верификацию на криптовалютных платформах, сеть опиралась на тысячи мошеннических аккаунтов с похищенными или купленными персональными данными. Eurojust сообщил, что следователи идентифицировали более 6 000 поддельных KYC-записей, привязанных к так называемым "мул-счетам". Большинство посредников, через которых двигались средства, были русскоязычными наемниками, специально завербованными для этой роли в обмен на процент от каждой операции.
Рядом с основным сервисом группа управляла форумом Dark2Web. На нем киберпреступники размещали объявления о нелегальных услугах, искали технических исполнителей и привлекали новых участников в свои схемы. Закрытие обеих платформ одновременно стало частью скоординированного замысла: лишить сеть и операционного, и рекрутингового инструментов разом.
11 стран и две координирующие структуры
К операции привлекли правоохранительные агентства из США, Австралии, Франции, Польши, Грузии, Исландии, Канады, Германии, Японии, Швейцарии и Великобритании. Координацию взяли на себя Eurojust и Europol. Широкий состав участников объясняется природой AudiA6: клиенты сервиса действовали в десятках стран, а жертвы их атак были рассеяны по разным континентам.
Участие Австралийской федеральной полиции оказалось критичным для построения обвинения. Она установила прямую связь между конкретным кейсом ransomware 2024 года и кошельками AudiA6, подтвердив причинно-следственную связь между деятельностью сервиса и реальными жертвами. Это укрепило правовую позицию для запроса об экстрадиции в США.
Вымогатели в 2026 году: тенденции не меняются
Ликвидация AudiA6 совпала с очередным обострением проблемы программ-вымогателей. По подсчетам Emsisoft, в первом квартале 2026 года атаки ransomware зафиксированы в 97 странах. США остаются наиболее пострадавшим рынком: на них приходится 64,7% всех задокументированных жертв.
Check Point Research в мае 2026 зафиксировал еще одну закономерность: рынок вымогателей концентрируется вокруг нескольких крупных операторов. Топ-10 групп забрали 71% всех жертв в Q1 2026 года. Ликвидация сервисов отмывания усложняет монетизацию атак и увеличивает риски для преступников, но следователи не скрывают: после каждой закрытой платформы появляются новые, и борьба остается затяжной.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *