Mezinárodní policejní operace vedená ve spolupráci 11 zemí zasáhla proti rozsáhlé síti pro praní špinavých peněz v kryptoměnách. Úřady oznámily rozbití služby AudiA6, která podle vyšetřovatelů mezi lety 2022 až 2025 pomohla legalizovat nelegální prostředky v hodnotě přes 336 milionů eur, tedy zhruba 390 milionů dolarů. Součástí zásahu bylo i odstavení tržiště Dark2Web, které mělo sloužit jako zázemí pro propagaci nelegálních služeb a propojování kyberzločinců.
Rozsáhlý zásah napříč 11 státy
Podle informací Eurojustu proběhl koordinovaný zásah ve středu a zapojily se do něj orgány ze Spojených států, Austrálie, Francie, Polska, Gruzie, Islandu, Kanady, Německa, Japonska, Švýcarska a Spojeného království. Vyšetřovatelé při akci zadrželi dva administrátory, občany Ruska a Ukrajiny, na území Gruzie. Současně bylo zabaveno 25 domén, více než 30 serverů a 80 vozidel. Úřady také zmrazily přibližně 900 tisíc dolarů v kryptoměnách. Celou operaci koordinovaly instituce Eurojust a Europol, které v posledních letech výrazně posilují přeshraniční spolupráci v boji proti kryptoměnové kriminalitě.
Vyšetřování ukázalo, že AudiA6 fungovala jako takzvaná mixer-as-a-service služba. Jejím cílem bylo pomáhat kyberzločincům zakrývat původ digitálních aktiv a ztěžovat sledování toku peněz bezpečnostními složkami. Služba měla klientům nabízet vyčištění kryptoměn zhruba během jedné hodiny, přičemž si účtovala provizi mezi 3 a 10 procenty. Takový model je obzvlášť atraktivní pro pachatele ransomwarových útoků, kteří potřebují rychle převést odcizené nebo vynuceně získané prostředky do méně dohledatelné podoby.
Deset tisíc bitcoinů a vazby na ransomware
Analytická společnost Chainalysis uvedla, že od roku 2021 přijaly peněženky spojené s AudiA6 přibližně 10 333 BTC. V době jednotlivých transakcí šlo podle odhadu o hodnotu kolem 389 milionů dolarů. To naznačuje, že služba nefungovala pouze okrajově, ale patřila k významným článkům infrastruktury využívané kyberzločinem. Právě propojení s ransomwarem je v tomto případě zásadní, protože útočníci často požadují výkupné právě v kryptoměnách.
Eurojust zároveň uvedl, že stejný zločinecký syndikát měl stát také za platformou Dark2Web. Ta měla fungovat jako samostatné tržiště nebo fórum, kde se nabízely nelegální služby a navazovaly kontakty mezi pachateli z různých částí světa. Nešlo tedy jen o izolovanou pračku kryptoměn, ale o širší ekosystém, který podporoval fungování organizované kyberkriminality. Kombinace služby pro praní prostředků a komunikačního tržiště podle vyšetřovatelů zvyšovala efektivitu celého kriminálního řetězce.
Australská federální policie doplnila, že AudiA6 měla vyprat také část výkupného zaplaceného jednou australskou firmou po ransomwarovém útoku v roce 2024. Tento detail ukazuje, že dopady podobných služeb nejsou teoretické, ale zasahují přímo reálné podniky a jejich provoz. Po zásahu byly běžné i darkwebové verze domén AudiA6 a Dark2Web nahrazeny zabavovacími oznámeními. To je standardní krok, kterým úřady veřejně potvrzují převzetí kontroly nad infrastrukturou zasažených platforem.
Podvodné KYC účty jako klíčový nástroj
Významnou součástí celé operace bylo odhalení způsobu, jakým síť přesouvala prostředky přes kryptoměnové platformy. Eurojust během vyšetřování identifikoval více než 6 000 KYC záznamů spojených s takzvanými money mule účty. Šlo o účty založené pomocí odcizených nebo nakoupených identit, které měly zakrýt skutečné vlastníky a usnadnit převod nelegálních výnosů. Tento mechanismus ukazuje, že samotné ověření identity na burzách nemusí být dostatečné, pokud jsou vstupní dokumenty zneužity nebo podvodně získány.
Podle vyšetřovatelů bylo mnoho těchto účtů propojeno s rusky mluvícími prostředníky, kteří byli najímáni speciálně za účelem přesunu zločineckých výnosů přes kryptoburzy. Tito zprostředkovatelé plnili roli mezičlánku mezi pachateli útoků a infrastrukturou finančního systému. Právě podobné sítě takzvaných bílých koní a zprostředkovatelů jsou pro digitální kriminalitu stále typičtější. Nejde jen o technologický problém blockchainu, ale i o problém zneužívání identit a lidských článků v celém procesu.
Případ navíc připomíná, že boj proti praní špinavých peněz v kryptu se nevede pouze na úrovni blockchainové analytiky. Stejně důležité jsou klasické policejní metody, mezinárodní výměna informací, zabavování serverů, domén a fyzického majetku i rozkrývání osobních vazeb mezi provozovateli služeb. V tomto případě vyšetřovatelé podle zveřejněných údajů zasáhli jak digitální infrastrukturu, tak reálné osoby a podpůrnou logistiku celé operace.
Ransomware se soustřeďuje do rukou menšího počtu skupin
Zásah proti AudiA6 přichází v době, kdy se globální ransomware dál vyvíjí a zároveň koncentruje. Společnost Emsisoft zaznamenala v prvním čtvrtletí roku 2026 ransomwarové incidenty ve 97 zemích. Přesto je geografické rozložení obětí velmi nerovnoměrné, přičemž samotné Spojené státy podle těchto dat představovaly 64,7 procenta všech zaznamenaných obětí. To naznačuje, že útočníci stále častěji míří na největší a nejbonitnější trhy.
Výzkum Check Point Research z května uvedl, že se ransomware znovu konsoliduje kolem menšího počtu dominantních operátorů. Deset největších ransomwarových skupin mělo v prvním čtvrtletí 2026 na svědomí 71 procent všech obětí. Tento trend je důležitý i v souvislosti s případem AudiA6, protože velké zločinecké skupiny potřebují stabilní a škálovatelnou infrastrukturu pro praní výnosů. Uzavření podobných služeb tak může výrazně narušit jejich schopnost převádět a skrývat prostředky po útocích.
Přesto nelze očekávat, že jediný zásah ransomware okamžitě oslabí na globální úrovni. Kriminální ekosystém je adaptivní a po odstavení jedné služby se často rychle objevují alternativy. Z pohledu bezpečnostních složek je ale klíčové, že se daří zvyšovat náklady a rizika pro provozovatele těchto platforem. Každé zabavení infrastruktury a každé zatčení administrátorů zvyšuje tlak na celé podsvětí a komplikuje jeho fungování.
Co případ znamená pro kryptosektor
Případ AudiA6 je dalším důkazem, že kryptoměny samy o sobě nejsou anonymním prostorem mimo dosah práva. Blockchainové transakce zanechávají stopy a ve spojení s mezinárodní spoluprací, analytickými nástroji a tradičním vyšetřováním mohou úřady rozkrýt i rozsáhlé operace. Současně ale kauza ukazuje, že zločinci stále nacházejí způsoby, jak zneužívat mixéry, podvodné identity a nastrčené účty k obcházení kontrol. Pro burzy a další poskytovatele služeb je to signál, že musí dál posilovat monitoring rizikových toků a kvalitu ověřování uživatelů.
Z širšího pohledu jde o významný zásah proti infrastruktuře, která umožňovala převádět výnosy z ransomwaru a dalších forem kyberkriminality do obtížněji dohledatelné podoby. Rozbití AudiA6 a Dark2Web neznamená konec kryptoměnového praní peněz, ale potvrzuje, že koordinované mezinárodní operace mohou účinně zasáhnout i velmi rozsáhlé sítě. Pro legitimní část kryptoprůmyslu je to zároveň připomínka, že reputace celého odvětví závisí i na schopnosti omezovat zneužívání digitálních aktiv ke kriminálním účelům.
