TRM ziet ransomwaregeld samenkomen bij vijf cryptodiensten
TRM Labs stelt dat vijf cryptodiensten in 2025 samen 51 procent van het ransomware off-rampvolume verwerkten. Europol, Eurojust en DOJ koppelen die concentratie nu aan AudiA6, een witwasdienst die volgens autoriteiten meer dan 336 miljoen euro aan criminele crypto verwerkte.
Crypto-criminaliteit oogt versnipperd door wallets, mixers, bridges en tussenadressen. De uitstroom vertelt een ander verhaal. Ransomwaregroepen hebben uiteindelijk plekken nodig waar gestolen crypto bruikbaar geld kan worden.
- Vijf diensten domineren. TRM ziet jaarlijks 42 tot 57 procent van het off-rampvolume bij de grootste vijf diensten.
- AudiA6 was zo’n knooppunt. De dienst had volgens Europol en Eurojust een rol in ransomware en cybercrime.
- Bridges nemen de verberglaag over. TRM ziet dat bridges mixers voorbij zijn gegaan bij ransomwarestromen.
De uitgang is smaller dan de keten lijkt
TRM analyseerde ransomware off-rampflows tussen 2020 en 2025. Jaarlijks ontvangen 600 tot 760 verschillende diensten fondsen die aan ransomware zijn gekoppeld. De top vijf verwerkt toch 42 tot 57 procent van het volume. De top tien komt uit op 62 tot 75 procent.
Een off-ramp is de route van crypto naar bruikbaar geld.
Dat kan via een exchange, broker of andere wisseldienst.
Ransomwaregroepen hebben zulke routes nodig om buit te gebruiken.
Juist daar krijgt opsporing houvast.
Die concentratie hield stand door meerdere handhavingsgolven. In 2023 zakte het aandeel van de grootste vijf diensten naar 42 procent, na verstoringen bij belangrijke knooppunten. In 2025 klom het weer naar 51 procent.
Dat maakt het probleem niet klein. Het maakt het preciezer. Wie alleen naar duizenden losse wallets kijkt, ziet chaos. Wie naar de uitgang kijkt, ziet hergebruik van diensten met liquiditeit en lage drempels.
AudiA6 laat zien hoe zo’n knooppunt werkt
Eurojust zegt dat AudiA6 tussen 2022 en 2025 meer dan 336 miljoen euro aan criminele crypto waste. Klanten stuurden volgens Eurojust gestolen crypto naar wallets van de groep en kregen binnen ongeveer een uur “opgeschoonde” middelen terug. De beheerders rekenden 3 tot 10 procent commissie.
De actie vond op 10 juni plaats in Georgië. Autoriteiten arresteerden twee vermeende beheerders, doorzochten drie panden, haalden 25 domeinen offline en namen meer dan 30 servers in beslag. Ook legden zij beslag op meer dan 80 voertuigen en meerdere vastgoedobjecten.
Europol noemt AudiA6 een centrale hub voor ransomwaregroepen en cybercriminelen die gestolen digitale activa wilden cashen. De groep achter de dienst zou ook Dark2Web hebben beheerd, een cybercrimeforum waar illegale diensten aan elkaar werden gekoppeld.
TRM koppelt AudiA6 aan meer dan 15 internationale cybercrime-onderzoeken. Het bedrijf noemt onder meer fondsen uit de LastPass-diefstal van 2022 en de SwissBorg-hack. TRM zegt dat het AudiA6 in december 2025 al zelfstandig als ransomware off-ramp identificeerde, nadat ongeveer 7 miljoen dollar aan LastPass-gerelateerde fondsen richting de dienst liep.
De Amerikaanse zaak gaat verder terug
Het Amerikaanse ministerie van Justitie klaagde Ruslan Igorevich Tkachuk en Alexander Vladimirovich Ledenev aan. Zij verbleven volgens DOJ in Batumi, Georgië, en zouden AudiA6 hebben beheerd. De aanklacht noemt samenzwering tot witwassen en sting money laundering.
Volgens DOJ ontving AudiA6 sinds 2021 ongeveer 10.333 BTC. De historische waarde van die deposits lag rond 389,7 miljoen dollar. Daarvan kwam 393,39 BTC direct van bekende darknetmarkten, ransomwareorganisaties, cybercrime-diensten en andere illegale bronnen.
De juridische grens blijft belangrijk. De aanklacht bevat beschuldigingen. Tkachuk en Ledenev gelden als onschuldig totdat een rechter schuld vaststelt. DOJ schrijft dat ook expliciet.
Voor opsporing telt de structuur achter de zaak. AudiA6 bood volgens de aanklacht aan om de herkomst van traceerbare crypto te verhullen, tegen een vergoeding tot 5 procent. Dat is geen gewone handelsdienst, maar een financiële dienst voor misdaadgeld, als de beschuldigingen kloppen.
Bridges maken de route moeilijker
TRM ziet nog een verschuiving. Mixers waren jarenlang de bekende verberglaag. In 2021 verwerkten mixers volgens TRM 152 miljoen dollar aan ransomware-gerelateerde flows. In 2024 zakte dat naar 48 miljoen dollar.
Cross-chain bridges namen een deel van die rol over. Ransomware-gerelateerde bridgeflows bereikten in 2025 100 miljoen dollar en gingen mixers voor het eerst voorbij. Dat maakt handhaving lastiger, omdat bridges ook veel legitieme toepassingen hebben.
Een mixer bestaat vaak voor verhulling. Een bridge verplaatst activa tussen blockchains. Dat kan nuttig zijn voor DeFi, treasurybeheer of gewone gebruikers. Ransomwaregroepen misbruiken diezelfde rails om sporen over ketens te verspreiden.
TRM noemt die verschuiving geen einde van traceerbaarheid. De geldstroom raakt complexer, maar verdwijnt niet. Onderliggende patronen, timing, clusters en terugkerende depositroutes blijven waardevol voor analisten.
Europa kijkt naar knooppunten, niet alleen naar hackers
Voor Nederland en België is dit geen ver-van-mijn-bedzaak. Grote witwasroutes bepalen hoe banken, betaalinstellingen en cryptodienstverleners risicoklanten beoordelen. Een platform dat geld van zo’n knooppunt ontvangt, kan vragen verwachten.
Onder MiCA krijgt de Europese cryptomarkt een duidelijker vergunningenmodel, maar financiële criminaliteit loopt via bredere regels en opsporingsketens. De AudiA6-zaak laat zien waarom transactiemonitoring niet alleen naar de klant kijkt, maar ook naar de tegenpartij.
CryptoBenelux schreef eerder dat Eurojust en Europol niet alleen servers raakten, maar een financiële uitgang voor gestolen crypto. Dat is de juiste lezing. De echte waarde van de actie zit in het raken van een route waar ransomwaregeld bruikbaar werd.
De les uit TRM’s cijfers is ongemakkelijk helder. Ransomware lijkt op de keten decentraal, maar de uitstroom blijft afhankelijk van weinig diensten. Dat geeft opsporing een kans, zolang die knooppunten zichtbaar blijven.
AudiA6 is één dienst minder. De belangrijkere boodschap zit in het patroon erachter: ransomwaregroepen kunnen wallets blijven wisselen, maar zonder betrouwbare uitgangen blijft hun buit vooral code op een scherm.
Stop met te veel betalen voor je crypto. Bij de Amsterdamse exchange Finst handel je tegen de laagste tarieven van Nederland, zonder verborgen kosten.
👀 Bekijk Finst nu ›Let op: Beleggen in crypto brengt risico’s met zich mee. Handel alleen met geld dat u kunt missen.
Ga verder met lezen
Dit vind je misschien ook leuk
Laat mensen jouw mening weten
Lees ook
Populair Nieuws
Loading
