Cybercrime-Finanznetzwerk zerschlagen : Krypto-Waschmaschine AudiA6 vom Netz genommen : Europol trennt Ransomware-Gruppen von zentraler Finanzdrehscheibe

Europäische und internationale Strafverfolger haben AudiA6 vom Netz genommen – einen Dienst für die Geldwäsche von Kryptowährungen. Über die Plattform sollen Ransomware-Gruppen, Darknet-Händler und andere Cybercrime-Netzwerke gestohlene Kryptowährungen in vermeintlich saubere Gelder umgewandelt haben. Europol bezeichnete den Dienst als „zentrale finanzielle Leitung“, über die hunderte Millionen Euro aus illegalen Geschäften gewaschen worden seien.

Seit dem Start im Jahr 2021 soll AudiA6 mehr als 336 Millionen Euro verschleiert haben. Nach Einschätzung von Europol war die Plattform ein wichtiger Knotenpunkt für Kriminelle, die gestohlene digitale Vermögenswerte zu Geld machen und zugleich verhindern wollten, dass Ermittler die Spur der Zahlungen zurückverfolgen können.

Geldwäsche als industrieller Dienst

AudiA6 wurde als schneller und anonymer Kryptowährungs-Mixer beworben. Kunden überwiesen illegale Erträge an Wallets der Betreiber und erhielten binnen einer Stunde vermeintlich „gereinigte“ Gelder zurück. Dahinter stand laut Ermittlern eine komplexe Transaktionskette, die Herkunft, Zwischenstationen und Empfänger verschleiern sollte.

Die Betreiber sollen dafür Provisionen zwischen drei Prozent und zehn Prozent verlangt haben. Bereits 2021 hatte Intel 471 berichtet, dass AudiA6 ein Mindestguthaben von 27 Bitcoin voraussetzte und eine feste Gebühr zwischen drei Prozent und 5,5 Prozent berechnete. Noch im Dezember 2025 stellte TRM Labs fest, dass Gelder aus dem LastPass-Hack von 2022 über Cryptex und AudiA6 geleitet worden sein sollen.

Technisch nutzte das Netzwerk offenbar tausende Konten bei Kryptobörsen, die unter falscher Identität eröffnet wurden. Dafür kamen gestohlene oder gekaufte Personendaten zum Einsatz. Laut Europol wurden mehr als 6000 Know-Your-Customer-Datensätze (KYC) solchen Geldkurier-Konten zugeordnet. Diese Konten dienten dazu, kriminelle Erlöse durch Kryptobörsen zu schleusen und ihre Herkunft zu verschleiern. Viele der Geldkuriere sollen über russischsprachige Vermittler angeworben worden sein.

Operation mit internationaler Schlagkraft

Die koordinierte Aktion fand am 10. Juni 2026 statt. Dabei griffen Strafverfolger nicht nur die technische Infrastruktur an, sondern auch Vermögenswerte, Kommunikationskanäle und mutmaßliche Betreiber:

• Festnahme von zwei mutmaßlichen Administratoren ukrainischer und russischer Staatsangehörigkeit in Georgien
• Drei Durchsuchungen von Immobilien
• Abschaltung von 25 Domains und Beschlagnahmung von mehr als 30 Servern
• Sicherstellung von mehr als 80 Fahrzeugen und mehreren Immobilien in Georgien
• Einfrieren von Kryptowerten im Wert von 692000 Euro und Beschlagnahmung von 86000 Euro in Kryptowährung
• Sperrung von Telegram-Konten, die vom Netzwerk genutzt wurden
• Ersetzung der Clear-Web- und Dark-Web-Seiten von AudiA6 und Dark2Web durch Sicherstellungsbanner der Strafverfolger

Parallel zur internationalen Aktion erhob das United States Department of Justice (DoJ) Anklage gegen Ruslan Igorevich Tkachuk, 37, und Alexander Vladimirovich Ledenev, 25. Die US-Behörde wirft ihnen vor, gemeinsam an Geldwäsche beteiligt gewesen zu sein. Außerdem geht es um sogenannte Sting-Geldwäsche. Damit sind verdeckte Ermittlungen gemeint, bei denen Behörden kontrolliert Geldflüsse einsetzen, um Geldwäsche nachzuweisen. Bei einer Verurteilung drohen beiden jeweils bis zu 20 Jahre Haft.

Nach Angaben des DoJ wurden insgesamt rund 10333 Bitcoin bei AudiA6 eingezahlt. Davon sollen etwa 393,39 Bitcoin direkt aus bekannten kriminellen Quellen gestammt haben, darunter Darknet-Marktplätze, Ransomware-Gruppen und Cybercrime-Dienste. Zum Zeitpunkt der jeweiligen Transaktionen hatten diese Bitcoin einen Wert von rund 19,23 Millionen US-Dollar. Weitere Einzahlungen sollen nicht direkt, aber über Zwischenschritte aus illegalen Quellen in Wallets von AudiA6 gelangt sein.

Darknet-Forum als Teil des Ökosystems

Die mutmaßlichen Betreiber von AudiA6 sollen auch das Dark-Web-Forum Dark2Web administriert haben. Dort konnten Cyberkriminelle illegale Dienstleistungen bewerben und Kontakte zu anderen Akteuren weltweit knüpfen. Damit war AudiA6 offenbar nicht nur ein Finanzdienstleister für Kriminelle, sondern Teil einer größeren Infrastruktur aus Vermittlung, Zahlungsabwicklung und Verschleierung.

Der jetzige Zugriff baute laut Europol auf einer früheren Maßnahme der polnischen Polizei auf. Im September 2025 war ein ukrainischer Staatsangehöriger wegen mutmaßlicher Geldwäsche im Zusammenhang mit der AudiA6-Gruppe festgenommen worden. Die forensische Auswertung beschlagnahmter Geräte führte anschließend zu weiteren mutmaßlichen Beteiligten.

Domains für Geldkurier-Konten

Für die Registrierung von Geldkurier-Konten bei Kryptobörsen nutzte das Netzwerk kommerzielle E-Mail-Anbieter und eigene Domains. Genannt wurden:

• designli.pictures
• pheontx.eu
• smplfy.in
• sumato-soft.org
• technobrains.dev
• lett.email
• trayo.app
• deliverly.top
• inboxly.top
• postfast.eu
• postino.click
• inboxally.agency
• mailora.eu
• postify.email
• quix.express
• flowcomm.click
• qube.black
• deliverlett.com
• lettermail.eu 

Warum Krypto-Wäscher so gefährlich sind

Der Fall macht deutlich, wie arbeitsteilig Cybercrime heute organisiert ist. Ransomware-Gruppen müssen erpresste Kryptowährungen nicht nur einsammeln. Sie müssen das Geld anschließend so verschieben, dass Herkunft, Empfänger und Zahlungswege möglichst nicht mehr nachvollziehbar sind. Genau dafür nutzen sie spezialisierte Dienste wie AudiA6.

Dabei kommen mehrere Methoden zusammen. Beim Chain-Hopping werden Kryptowährungen über verschiedene Blockchains bewegt. Dezentrale Börsen helfen, Werte ohne klassische Zwischenstellen zu tauschen. Geldkurier-Wallets dienen als zusätzliche Stationen, um die Spur zu verwischen. Mixer-as-a-Service-Angebote übernehmen schließlich die eigentliche Verschleierung gegen Gebühr.

Europol beschreibt diese Entwicklung mit deutlichen Worten: Ransomware-Gruppen und Cybercrime-Netzwerke verschieben illegale Kryptowährungen zunehmend „innerhalb weniger Minuten über mehrere Blockchains“, damit kriminelle Gewinne im digitalen Untergrund verschwinden. Für Ermittler reicht es deshalb nicht, nur die Täter hinter einem Angriff zu identifizieren. Ebenso wichtig ist es, die Geldflüsse zu verfolgen, denn dort zeigt sich, wie die kriminellen Netzwerke finanziert werden.

An der Untersuchung beteiligt waren unter anderem der United States Secret Service, die IRS Criminal Investigation (IRS-CI), die polnische Polizei sowie Strafverfolger aus Australien, Kanada, Frankreich, Georgien, Deutschland, Island, Japan, der Schweiz und dem Vereinigten Königreich. Dass AudiA6 mit mehr als 15 weltweiten Ermittlungen zu Ransomware und groß angelegtem Kryptodiebstahl in Verbindung steht, zeigt die Bedeutung solcher Dienste: Wer Geldwäsche-Infrastrukturen stört, trifft nicht nur einzelne Verdächtige, sondern die finanzielle Grundlage ganzer Cybercrime-Netzwerke.

FAQ: AudiA6 und Krypto-Geldwäsche

Was war AudiA6?
AudiA6 war ein Kryptowährungs-Mixer, der mutmaßlich illegale Kryptowerte verschleierte und an Cybercrime-Netzwerke zurückleitete.

Warum war AudiA6 für Ransomware-Gruppen wichtig?
Ransomware-Gruppen benötigen Dienste, die erpresste Kryptowährungen anonymisieren. AudiA6 half dabei, Zahlungswege, Herkunft und Empfänger zu verschleiern.

Wie viel Geld soll über AudiA6 gewaschen worden sein?
Seit 2021 sollen über AudiA6 Kryptowerte von mehr als 336 Millionen Euro verschleiert worden sein.

Was haben die Ermittler bei der Aktion beschlagnahmt?
Die Behörden schalteten Domains und Server ab, froren Kryptowerte ein und beschlagnahmten unter anderem Fahrzeuge, Immobilien sowie Kryptowährungen.

Warum sind Krypto-Mixer gefährlich?
Krypto-Mixer erschweren die Nachverfolgung krimineller Zahlungsflüsse. Dadurch können Ransomware-Gruppen Gewinne sichern und weitere Angriffe finanzieren.