News
Europol zerschlägt AudiA6: Krypto-Geldwäschedienst wusch 336 Millionen Euro für Ransomware-Gruppen
Von KryptoRatgeber · veröffentlicht 17. Juni 2026
Europol hat am 12. Juni 2026 einen international operierenden Krypto-Geldwäschedienst namens AudiA6 zerschlagen, der zwischen 2022 und 2025 mehr als 336 Millionen Euro aus Cyberkriminalität verschleiert haben soll. Zwei mutmaßliche Betreiber aus der Ukraine und Russland wurden in Georgien festgenommen. Für deutsche Unternehmen und Privatnutzer ist der Fall besonders aufschlussreich: Er zeigt, wie gezielt Ransomware-Erlöse — also Lösegeldzahlungen nach digitalen Erpressungsangriffen — über spezialisierte Krypto-Dienste gewaschen werden, und wie Ermittler diese Spuren heute auf der Blockchain verfolgen können.
Zwei Festnahmen in Georgien, 15 Ermittlungen, ein Cybercrime-Forum
Igorevich Tkachuk (37, ukrainischer Staatsbürger) und Alexander Vladimirovich Ledenev (25, russischer Staatsbürger) wurden in Batumi, Georgien, verhaftet. US-Staatsanwälte im Eastern District of Pennsylvania erhoben gegen beide bereits am 2. Juni 2026 Anklage wegen Geldwäsche — eine Auslieferung in die USA wird angestrebt. AudiA6 stand laut Europol mit mehr als 15 internationalen Cyberkriminalitätsermittlungen in Verbindung, darunter Gelder aus dem LastPass-Hack von 2022 und dem Swissborg-Hack. Neben dem Waschdienst selbst betrieben die Beschuldigten offenbar das Cybercrime-Forum Dark2Web.
Von den rund 79 Millionen USD an rückverfolgbaren illegalen Transaktionen waren 63 Millionen — also etwa 80 Prozent — direkt mit Ransomware-Gruppen verknüpft.
Den forensischen Faden zur LastPass-Verbindung hatten laut TRM Labs (TRM Labs) unabhängig von der Europol-Operation die eigenen Analysten gezogen: TRM Labs zufolge wurden im Dezember 2025 rund 7 Millionen USD aus dem LastPass-Diebstahl über Wasabi Wallet — einen Dienst, der Transaktionen verschleiert — bis zu AudiA6 zurückverfolgt, mithilfe einer Methode namens Cluster-Level-Demixing, bei der Transaktionsmuster auf der Blockchain statistisch entflochten werden.
Konzentration als Schwachstelle — und als Warnung
Der Fall AudiA6 offenbart ein strukturelles Muster, das Strafverfolger zugleich ermutigt und beunruhigt: Ransomware-Erlöse fließen nicht breit gestreut durch das Krypto-Ökosystem, sondern ballen sich bei wenigen Diensten. Laut TRM Labs absorbierten die fünf größten sogenannten Off-Ramp-Dienste — also Plattformen, über die Kriminelle Krypto in reguläres Geld umtauschen — 2025 erneut mehr als die Hälfte des gesamten Ransomware-Waschvolumens. Das macht jeden einzelnen dieser Dienste zu einem hochwertigem Ziel für Behörden.
Gleichzeitig zeigt die Untersuchung, dass die Gegenseite nicht stillsteht. Während klassische Krypto-Mixer — Dienste, die Transaktionen durchmischen, um den Geldfluss zu verschleiern — zunehmend ins Visier geraten und abgeschaltet werden, verlagern Kriminelle ihr Vorgehen auf sogenannte Cross-Chain-Bridges — Protokolle, die Kryptowährungen automatisch zwischen verschiedenen Blockchain-Netzwerken übertragen. Deren Volumen bei Ransomware-Geldwäsche hat sich laut TRM Labs zwischen 2024 und 2025 mehr als verdoppelt und liegt nun bei 100 Millionen US-Dollar.
Für deutsche Unternehmen, die Ransomware-Angreifer als abstraktes IT-Problem betrachten, unterstreicht dieser Fall die finanzielle Logik dahinter: Ohne funktionierende Waschinfrastruktur verlieren Lösegeldforderungen ihren Wert. Jede Zerschlagung wie die von AudiA6 erhöht den operativen Aufwand für Angreifer — auch wenn sie das Problem nicht löst.
Einschränkend gilt: Verhaftungen in Georgien bedeuten noch keine rechtskräftige Verurteilung. Eine Auslieferung an die USA — wo Anklage erhoben wurde — ist politisch und juristisch unsicher.
Wie Ransomware-Geld den Weg durch die Blockchain findet
Wer verstehen will, warum ein Fall wie AudiA6 möglich ist, muss sich klarmachen, wie das Grundprinzip funktioniert: Ransomware-Gruppen erpressen Unternehmen oder Behörden und verlangen Lösegeld in Kryptowährungen — meist Bitcoin. Das Problem für die Kriminellen: Transaktionen auf der Blockchain sind öffentlich einsehbar. Spezialisten der On-Chain-Analyse — also der systematischen Auswertung dieser öffentlichen Transaktionsdaten — können Geldflüsse oft über viele Zwischenschritte hinweg zurückverfolgen.
Deshalb brauchen Kriminelle Dienste wie AudiA6: sogenannte Off-Ramps, die kriminelle Herkunft von Kryptoguthaben verschleiern, bevor das Geld in reguläre Währungen umgetauscht wird. Klassisch war dafür der Einsatz von Krypto-Mixern — Diensten, die viele Transaktionen vermischen. Laut TRM Labs haben zuletzt jedoch sogenannte Cross-Chain-Bridges — also Protokolle, die Kryptowerte zwischen verschiedenen Blockchain-Netzwerken verschieben — Mixer als wichtigste Verschleierungsschicht abgelöst und stellen Ermittler vor neue technische Herausforderungen.
Häufige Fragen
Wie konnten Ermittler Krypto-Transaktionen bis zu AudiA6 zurückverfolgen?
Jede Transaktion auf einer öffentlichen Blockchain ist dauerhaft gespeichert und prinzipiell einsehbar. Mit sogenannter On-Chain-Analyse — der computergestützten Auswertung dieser Transaktionsketten — lassen sich Geldflüsse auch dann rekonstruieren, wenn Dienste wie Krypto-Mixer versuchen, die Spur zu verwischen. Im Fall AudiA6 gelang es so, rund 7 Millionen USD aus dem LastPass-Hack über mehrere Zwischenstationen bis zum Dienst zurückzuverfolgen.
Warum wurden die Verdächtigen nicht in ihren Heimatländern verhaftet?
Igorevich Tkachuk und Alexander Vladimirovich Ledenev stammen aus der Ukraine und Russland — beides Länder, mit denen westliche Staaten bei der Auslieferung von Cyberkriminellen erfahrungsgemäß kaum kooperieren. Die Festnahme in Batumi, Georgien, war daher kein Zufall: Ermittler nutzen solche Reisen ins Ausland gezielt, um Verdächtige in einem Staat zu greifen, in dem eine Auslieferung realistischer ist.