Autoridades dos Estados Unidos e da Europa desmantelaram nesta quinta-feira (12) a AudiA6, uma das maiores plataformas de lavagem de criptomoedas do mundo, usada por gangues de ransomware para limpar cerca de €336 milhões desde 2021. A operação conjunta do FBI, Europol e polícias de 11 países resultou na prisão de dois suspeitos na Geórgia e na apreensão de mais de 30 servidores e 25 domínios.
Como a AudiA6 operava
A AudiA6 funcionava como um “mixer como serviço” profissional, anunciado em fóruns underground como o Dark2Web, também administrado pelos mesmos operadores. Criminosos transferiam criptomoedas roubadas para carteiras controladas pelo grupo e recebiam fundos “limpos” em cerca de uma hora, por meio de uma cadeia complexa de transações projetada para ocultar a origem do dinheiro.
O serviço cobrava comissões entre 3% e 10% por transação e exigia um depósito mínimo de 27 bitcoins. Para escalar as operações, os administradores abriam milhares de contas em corretoras de criptomoedas usando identidades roubadas ou compradas. A Europol identificou mais de 6 mil registros de KYC (Know Your Customer) ligados a contas de “mulas” financeiras, muitas delas conectadas a intermediários de língua russa recrutados para movimentar os fundos.
Prisões e apreensões
A operação coordenada em 10 de junho de 2026 culminou na prisão de dois suspeitos em Tbilisi, capital da Geórgia: o ucraniano Ruslan Igorevich Tkachuk, 37 anos, e o russo Alexander Vladimirovich Ledenev, 25 anos. O Departamento de Justiça dos EUA denunciou ambos por conspiração para lavar instrumentos monetários, crime com pena máxima de 20 anos de prisão.
| Ação | Detalhe |
|---|---|
| Suspeitos presos | 2 administradores (ucraniano e russo) na Geórgia |
| Domínios apreendidos | 25 domínios + mais de 30 servidores |
| Veículos apreendidos | Mais de 80 na Geórgia |
| Cripto congelada | €692 mil em ativos bloqueados + €86 mil apreendidos |
| Total lavado | €336 milhões (~US$ 389 milhões) desde 2021 |
| Bitcoin processado | 10.333 BTC no total |
Conexão com ransomware
A AudiA6 não era apenas um serviço genérico de lavagem — era um pilastro financeiro do ecossistema de ransomware. Segundo o DOJ, aproximadamente 393,39 BTC (cerca de US$ 19,2 milhões) foram depositados diretamente por darknet markets, organizações de ransomware e outros serviços de cibercrime. O serviço esteve ligado a mais de 15 investigações globais de ataques de ransomware e roubos de criptomoedas em larga escala.
Uma análise da TRM Labs em dezembro de 2025 revelou que fundos roubados no ataque à LastPass em 2022 foram roteados pela AudiA6 e pela Cryptex. Como destacado em nosso artigo sobre ataques de extorsão sem criptografia que disparam em 2026, a capacidade de converter cripto roubada em dinheiro limpo é o que sustenta toda a cadeia econômica do ransomware. Sem plataformas como a AudiA6, gangues ficariam com ativos ilícitos impossíveis de gastar.
A prisão de um nacional ucraniano pela polícia polonesa em setembro de 2025 abriu caminho para a operação desta semana. O exame forense dos dispositivos eletrônicos do suspeito permitiu identificar os dois administradores presos agora na Geórgia.
O que muda com a operação
O desmantelamento da AudiA6 remove um dos principais canais de liquidação de ativos ilícitos do ecossistema criminoso. A operação também demonstra a crescente capacidade de rastreamento em blockchain por agências governamentais com apoio de empresas privadas como a Chainalysis, que forneceu análise em tempo real das transações do grupo.
Para organizações que sofreram ataques de ransomware e cujos pagamentos possam ter passado pela AudiA6, as carteiras apreendidas podem servir como evidência em processos de recuperação. Equipes de segurança devem cruzar endereços de pagamento de resgate com os indicadores de comprometimento divulgados pela Europol. A operação contra a AudiA6 se junta a outras ações recentes documentadas em nosso site, como o caso da VPN da Check Point explorada por afiliado do ransomware Qilin, mostrando que a pressão sobre a infraestrutura criminosa se intensifica em múltiplas frentes.
Empresas de criptomoedas devem revisar os domínios associados à AudiA6 — como designli.pictures, pheontx.eu, smplfy.in e dezenas de outros usados para registrar contas mula — e verificar se possuem clientes que transacionaram com esses endereços. A lista completa foi divulgada pela Europol.