Europol je pomagal prekiniti eno od najbolj aktivnih storitev pranja kriptovalut, imenovano ‘AudiA6’, ki so ji očitno izsiljevalske tolpe in mreže kibernetskega kriminala zaupale na veliko. Tako so policisti prekinili zelo pomemben finančni cevovod, prek katerega naj bi kriminalci med letoma 2022 in 2025 oprali preko 336 milijonov evrov.

Zaplenjena spletna stran z logotipi udeležencev akcije (foto: europol.europa.eu)

Kriminalne skupine z vsega sveta, predvsem tiste največje, imajo velik skupen problem – kako nezakonite prihodke pretvoriti v legalno premoženje. Pri tem so se v zadnjem desetletju mnogi začeli zanašati na kriptovalute, saj naj bi bile slednje za organe pregona precej težje izsledljive. Vendar pa imajo državni in skupni mednarodni preiskovalni organi ogromne tehnične zmožnosti, zato prej ali slej razkrijejo tudi najbolj skrite kriminalne metode.

Tako so se tokrat lotili ene od najpomembnejši storitev pranja kriptovalut, poimenovano ‘AudiA6’, ki so jo analize Europola povezale z najmanj 15 mednarodnimi preiskavami kibernetske kriminalitete. »Preiskovalci menijo, da je platforma postala osrednje središče za akterje izsiljevalske programske opreme in kibernetske kriminalce, ki želijo unovčiti ukradena digitalna sredstva, hkrati pa pred oblastmi skriti sled denarja.

Osumljenci, ki stojijo za ‘AudiA6’, naj bi upravljali tudi forum za kibernetsko kriminaliteto na temnem spletu ‘Dark2Web’, kriminalno tržnico, ki se uporablja za oglaševanje nezakonitih storitev in povezovanje akterjev kibernetske kriminalitete po vsem svetu,« so pojasnili z Europola in dodali da so v preiskavah zelo aktivno sodelovale tudi Ameriška tajna služba (US Sevret Service), davčna uprava ZDA (IRS) ter poljska Policja.

Včeraj so izpeljali zaključno operacijo in sicer so v Gruziji aretirali 2 administratorja (ukrajinske in ruske narodnosti), preiskali so 3 nepremičnine, zasegli 25 domen in preko 30 strežnikov, zaplenili več kot 80 vozil in nekaj nepremičnin, zamrznili z 692.000 evrov vrednosti v kriptovalutah, zasegli več kot 86.000 EUR v kriptovalutah ter blokirali račune v družbenem omrežju Telegram, ki so jih uporabljali kriminalci.

Nazadnje so vsa spletna mesta storitve ‘AudiA6’ in foruma za kibernetsko kriminaliteto ‘Dark2Web’ nadomestili z obvestilom o zasegu s strani organov pregona. Ta del operacije je stekel po ugotovitvah poljskih policistov, ki so 15. septembra 2025 privedli do aretacije ukrajinskega državljana, vpletenega v dejavnosti pranja denarja in povezanega s kriminalno skupino ‘AudiA6’.

Med preiskavami so mu zasegli elektronske naprave, kar je nato omogočilo identifikacijo dodatnih posameznikov, vpletenih v pranje denarja oz. kriptovalut. Preiskovalci so naleteli na ‘industrijsko’ operacijo pranja denarja s kriptovalutami, ki je temeljila na tisočih goljufivih borzah, odprtih z ukradenimi ali kupljenimi identitetami. ‘AudiA6’ se je na podzemnih forumih za kibernetsko kriminaliteto tržil kot profesionalna storitev mešanja kriptovalut.

 »Potem ko so stranke prek platform za zasebno sporočanje vzpostavile stik s kriminalno storitvijo, so ukradeno kriptovaluto prenesle v denarnice, ki jih je nadzorovala kriminalna združba, in v približno eni uri prejele nazaj »očiščena« sredstva prek zapletene verige transakcij, namenjene prikrivanju izvora denarja. Operaterji so zaračunavali provizije med 3 in 10 %,« so še pojasnili z Europola. Med preiskavo je bilo identificiranih več kot 6000 zapisov Know Your Customer (KYC).

Ti zapisi so bili povezanih z računi denarnih mul, oz. rusko govorečih posrednikov, ki so bili posebej zaposleni za pomoč pri premikanju kriminalnega izkupička prek borz s kriptovalutami. Skupina je za registracijo računov denarnih mul pri različnih borzah kriptovalut uporabljala tako komercialne ponudnike e-pošte kot tudi e-poštne naslove, povezane z domenami pod njihovim nadzorom.

Te domene so sedaj javno objavljene, da bi borzam kriptovalut pomagale prepoznati in blokirati račune, povezane s storitvijo pranja denarja. Na seznamu so domene: designli.pictures, heontx.eu, smplfy.in, sumato-soft.org, technobrains.dev, lett.email, trayo.app, deliverly.top, inboxly.top, postfast.eu, postino.click, inboxally.agency, mailora.eu, postify.email, quix.express, flowcomm.click, qube.black, deliverlett.com in lettermail.eu.