Europol en Eurojust doeken crypto-witwasdienst AudiA6 van €336 miljoen op

Eurojust en Europol hebben AudiA6 offline gehaald na een internationale actie in Georgië op 10 juni. De crypto-witwasdienst zou meer dan €336 miljoen hebben verwerkt voor ransomwaregroepen en andere cybercriminelen.

De politie raakte niet alleen servers, maar een financiële uitgang voor gestolen crypto.

Even simpel gezegd Een off-ramp is de route van crypto naar bruikbaar geld. KYC betekent dat een exchange weet wie de klant is. Criminelen misbruiken soms gekochte of gestolen identiteiten om door die controle te komen.

Eurojust beschrijft AudiA6 als een dienst waar cybercriminelen gestolen crypto naartoe stuurden. Binnen ongeveer een uur kregen klanten volgens de autoriteit “opgeschoonde” middelen terug via een complexe reeks transacties. De beheerders zouden daarbij 3 tot 10 procent commissie hebben gerekend.

Dat model maakte AudiA6 bruikbaar voor ransomwaregroepen. Een aanval levert pas geld op als de buit kan bewegen. De dienst hielp volgens autoriteiten om die herkomst te verhullen.

De Amerikaanse aanklacht gaat verder terug dan de Europese periode. Het DOJ stelt dat wallets van AudiA6 sinds 2021 ongeveer 10.333 BTC ontvingen. De historische waarde lag volgens de aanklacht rond $389,7 miljoen.

De actiedag vond plaats op 10 juni in Georgië. Eurojust meldt twee arrestaties, drie doorzoekingen, 25 offline gehaalde domeinen en meer dan 30 in beslag genomen servers. Autoriteiten namen ook ruim 80 voertuigen en meerdere panden onder controle.

De financiële vangst bleef veel kleiner dan het vermoedelijke volume. Eurojust noemt €692.000 aan bevroren crypto en ruim €86.000 aan in beslag genomen crypto. Dat verschil toont hoe snel criminele geldstromen door meerdere lagen bewegen.

Het DOJ noemt Ruslan Igorevich Tkachuk en Alexander Vladimirovich Ledenev als verdachten. Zij zaten volgens de Amerikaanse autoriteiten in Batumi, Georgië. De VS wil hun uitlevering naar Pennsylvania.

Volgens Eurojust zaten achter AudiA6 ook beheerders van Dark2Web. Dat forum diende als marktplaats waar illegale diensten werden aangeboden. Daar kwamen witwasroute, klantenwerving en cybercrime samen.

Het DOJ stelt dat AudiA6 op Dark2Web adverteerde met het verhullen van de herkomst van criminele crypto. Chainalysis beschrijft AudiA6 als een professioneel “mixer-as-a-service”-achtig netwerk.

Die koppeling maakt de zaak groter dan één website. Witwassen in crypto draait niet alleen om wallets. Het draait ook om reputatie, toegang, forums en tussenpersonen.

Eurojust meldt dat onderzoekers meer dan 6.000 KYC-records vonden die aan money mule-accounts waren gekoppeld. Veel accounts hadden volgens Eurojust banden met Russischsprekende tussenpersonen. Zij hielpen criminele opbrengsten via cryptobeurzen te verplaatsen.

Chainalysis ziet hetzelfde patroon. Het bedrijf schrijft dat AudiA6 zwaar leunde op KYC-geverifieerde geldezelaccounts om gestolen digitale waarde via centrale exchanges te wassen.

Daar ligt de les voor platforms. Een account kan bij de start netjes lijken. Het gedrag kan daarna alsnog wijzen op misbruik. Snelle doorstroom, gedeelde domeinen en afwijkende routes worden dan belangrijker dan een losse identiteitscheck.

TRM Labs plaatst AudiA6 in een breder patroon. Volgens het bedrijf ontvangen jaarlijks 600 tot 760 diensten ransomwaregerelateerde fondsen. De vijf grootste diensten verwerken samen toch 42 tot 57 procent van dat volume. In 2025 liep dat aandeel weer op naar 51 procent.

Die concentratie maakt handhaving effectiever. Eén geraakt knooppunt kan meerdere ransomwaregroepen tegelijk raken. Niet omdat hun malware verdwijnt, maar omdat hun financiële route duurder wordt.

TRM stelt ook dat ransomwaregroepen in 2025 ongeveer $1,3 miljard verwerkten. Werkelijke losgeldbetalingen bleven volgens het bedrijf rond $850 miljoen. Die kloof laat zien dat de geldstromen breder zijn dan alleen betaling van slachtoffer naar aanvaller.

TRM ziet ook een verschuiving van mixers naar cross-chain bridges. Een bridge verplaatst waarde van de ene blockchain naar de andere. Volgens TRM bereikten ransomwaregerelateerde bridge-stromen in 2025 ongeveer $100 miljoen. Daarmee gingen zij mixers voorbij.

Dat maakt opsporing lastiger. Mixers zijn vaak speciaal gebouwd om geldstromen te verhullen. Bridges hebben ook legitiem gebruik, waardoor één harde ingreep sneller gewone gebruikers raakt.

De blockchain laat sporen achter. Die sporen lopen nu wel vaker door meerdere netwerken, exchanges en accountlagen. Opsporing vraagt daardoor samenwerking tussen landen, platforms en analysebedrijven.

Ransomware blijft ook voor Nederland en België concreet. Bedrijven, zorginstellingen en overheden blijven doelwit van afpersing, datadiefstal en systeemverstoring. De financiële route achter die aanvallen bepaalt vaak of daders kunnen cashen.

Crypto is daarbij niet de oorzaak van ransomware. De AudiA6-zaak toont wel dat bepaalde cryptodiensten misdaadgeld kunnen verplaatsen. Dat maakt exchanges, walletstromen en on-chain data onderdeel van cyberopsporing.

Voor Europese aanbieders raakt dit direct aan MiCA en antiwitwasregels. Vergunningen zijn één laag. Gedrag op accounts herkennen is de laag waar de schade vaak ontstaat.

AudiA6 is nu geraakt, maar de onderliggende markt verdwijnt niet. Elke kapotte off-ramp maakt de digitale onderwereld duurder, trager en zichtbaarder.