Operação internacional ataca infraestrutura financeira do crime organizado
Em uma operação coordenada de grande escala, autoridades de múltiplos países desmantelaram o serviço de lavagem de criptomoedas conhecido como AudiA6, uma infraestrutura crítica utilizada por grupos de ransomware e redes criminosas para ocultar fluxos financeiros ilícitos e converter ativos digitais roubados. A operação, que ocorreu em 10 de junho, envolveu o Serviço Secreto dos Estados Unidos, a Divisão de Investigação Criminal do IRS, a polícia polonesa e diversos parceiros globais, com apoio operacional da Europol e do Eurojust.
O serviço processou mais de 336 milhões de euros entre 2022 e 2025, tornando-se a espinha dorsal financeira para atores de ransomware, permitindo que convertessem e movessem fundos enquanto evitavam a detecção por sistemas de conformidade e aplicação da lei. A ação resultou na prisão de dois suspeitos administradores de nacionalidades ucraniana e russa na Geórgia, além da apreensão de mais de 30 servidores, 25 domínios e ativos em criptomoedas no valor de centenas de milhares de euros.
Mecanismos de lavagem e escala da operação
O AudiA6 operava como um serviço profissional de lavagem de criptomoedas anunciado em fóruns subterrâneos. Os cibercriminosos, incluindo afiliados de ransomware, podiam transferir criptomoedas roubadas para carteiras controladas pelo serviço e receber fundos "limpos" em aproximadamente uma hora. O processo de lavagem dependia de cadeias de transações rápidas e complexas projetadas para obscurecer a origem dos fundos através de múltiplas carteiras e exchanges.
Os operadores cobravam comissões variando de 3 a 10 por cento, tornando o serviço tanto eficiente quanto lucrativo. A investigação também revelou uma rede em grande escala de contas fraudulentas usadas para facilitar atividades de lavagem. Mais de 6.000 registros de Know Your Customer (KYC) foram vinculados a contas de "laranjas" criadas usando identidades roubadas ou compradas.
Muitas dessas contas eram gerenciadas por intermediários, frequentemente falantes de russo, que ajudavam a mover fundos através de exchanges de criptomoedas. O grupo utilizava uma combinação de serviços de e-mail comerciais e domínios personalizados para registrar contas e burlar verificações de conformidade. Autoridades liberaram vários domínios vinculados a essa atividade para ajudar as exchanges a identificar e bloquear contas suspeitas.
Conexões com o ecossistema de crime cibernético
Análises adicionais revelaram que os indivíduos por trás do AudiA6 provavelmente também operavam o fórum de cibercrime "Dark2Web", que servia como um mercado para serviços ilícitos e um hub para conectar atores de ameaças globalmente. A Europol vinculou a plataforma de lavagem a mais de 15 investigações envolvendo campanhas de ransomware e roubo em grande escala de criptomoedas, sublinhando seu papel como um habilitador central dentro do ecossistema de cibercrime.
A operação reflete uma tendência mais ampla destacada na Avaliação de Ameaças do Crime Organizado na Internet da Europol de 2026, que aponta para a profissionalização crescente de serviços de lavagem de criptomoedas. Grupos criminosos cibernéticos cada vez mais dependem de técnicas como chain-hopping, exchanges descentralizadas e serviços baseados em mixer para mover rapidamente fundos através de blockchains e evadir controles de combate à lavagem de dinheiro.
Impacto na segurança corporativa e recomendações
O desmantelamento do AudiA6 interrompe um pipeline financeiro significativo para grupos de ransomware. No entanto, as autoridades alertam que serviços semelhantes continuam a evoluir, sustentando a economia global de cibercrime. Para CISOs e equipes de segurança, a operação destaca a importância de monitorar transações de criptomoedas associadas a ameaças conhecidas e a necessidade de colaboração entre equipes de segurança e compliance financeiro.
Recomenda-se que organizações revisem seus controles de conformidade para identificar possíveis conexões com serviços de lavagem de criptomoedas suspeitos. Além disso, a inteligência de ameaças sobre domínios e endereços de carteira associados ao AudiA6 deve ser integrada aos sistemas de detecção de fraudes e monitoramento de rede para prevenir futuras tentativas de lavagem de fundos corporativos roubados.
Perguntas frequentes
- O que é o AudiA6? Um serviço de lavagem de criptomoedas usado por gangs de ransomware para converter fundos roubados.
- Qual o valor processado? Mais de 336 milhões de euros entre 2022 e 2025.
- Quais países participaram? EUA, Polônia, Geórgia, com apoio da Europol e Eurojust.
- Como evitar ser afetado? Monitorar transações de criptomoedas e integrar IOCs de lavagem aos sistemas de segurança.