מבצע AudiA6: כיצד 11 מדינות פירקו שירות הלבנת קריפטו של כנופיות כופרה
כשכנופיית כופרה גובה מיליוני דולרים בביטקוין מקורבנותיה, היא עומדת בפני בעיה לא פשוטה: איך מוציאים כסף גנוב לעולם האמיתי מבלי שרשויות האכיפה יעקבו אחריו? התשובה — לפחות עד השבוע שעבר — הייתה שירות בשם AudiA6.
AudiA6 פעל ארבע שנים, הלבין לפחות €336 מיליון עבור עשרות כנופיות, וגבה על כך עמלה נוחה. ב-10 ביוני 2026 הכל קרס: 25 דומיינים נתפסו, 30 שרתים נכבו, ושני מנהליו הנחשדים — אזרח אוקראיני ואזרח רוסי — נעצרו בגאורגיה. זה לא מקרה. זה מה שקורה כשאחד עשר גופי אכיפה מתואמים בו-זמנית.
מה זה “הלבנת קריפטו” ולמה כנופיות כופרה זקוקות לה?
ביטקוין וקריפטו אחר נראים אנונימיים — אבל ה-Blockchain הוא ספר חשבונות ציבורי ולנצח. כל עסקה נרשמת, לעד, וכל אחד יכול לראות כסף שעובר מארנק לארנק. חברות כמו Chainalysis ו-TRM Labs מתמחות בדיוק בכך: הן עוקבות אחרי תזרים הכספים מארנק של קורבן כופרה — דרך כל ההעברות הביניים — עד לנקודה שבה התוקף מנסה להמיר לכסף רגיל.
הבעיה עבור הפושע: ברגע שהוא שולח כסף לבורסת קריפטו לגיטימית כדי לפדות אותו, הבורסה מחויבת בחוק (KYC/AML — Know Your Customer / Anti Money Laundering) לאמת זהות ולדווח לרשויות על עסקאות חשודות. אם הכסף מגיע ישירות מארנק שמזוהה עם כופרה — הוא נחסם ורשויות האכיפה נדרכות.
הפתרון: מיקסר (Mixer) — שירות שמערבב את הכספים דרך מאות ואלפי ארנקי ביניים כדי לנתק את הקשר בין המקור המלוכלך לכסף ה”נקי” שמגיע בסוף. המשל הקלאסי: כמו להעביר שטר ממוספר דרך עשרות קזינואים שונים עד שלא ניתן עוד לזהות מהיכן הגיע.
איך AudiA6 עבד?
AudiA6 לא היה מיקסר פשוט — זה היה תפעול בסדר גודל תעשייתי עם צוות תמיכה, לקוחות חוזרים, ומוניטין מוצק בפורומי הפשע הסייברי. כך נראה התהליך:
שלב 1: יצירת קשר
הפושע פנה למנהלי AudiA6 דרך אפליקציות הצפנה כמו Telegram או דרך פורומי Darknet. AudiA6 היה שירות “אישי” יחסית — לא אוטומטי לחלוטין — עם נציגים שהגיבו לפניות.
שלב 2: קבלת כתובת הפקדה
AudiA6 סיפקו ארנק-יעד. הפושע שלח לשם את הקריפטו “המלוכלך” — כספי הכופרה ישירות מהארנק שקיבל את התשלום מהקורבן.
שלב 3: הזרמה דרך אלפי חשבונות פיקטיביים
זה הלב של הפעולה: AudiA6 פתחו אלפי חשבונות בבורסות קריפטו לגיטימיות תוך שימוש בזהויות גנובות או שנרכשו בשוק השחור. דרך רשת החשבונות הזו הם ריצו שרשראות עסקאות מורכבות — פיצלו סכומים, מיזגו ממקורות שונים, ניתבו בין מדינות ובין פלטפורמות — עד שהמקור המקורי נמחק הלכה למעשה.
שלב 4: “כסף נקי” יוצא בצד השני
תוך כשעה בממוצע, הכסף ה”נקי” הגיע לארנק חדש שסיפק הפושע. מבחינה טכנית, לא ניתן עוד לקשר אותו ישירות לכופרה המקורית.
שלב 5: גביית עמלה
AudiA6 שמרו לעצמם 3%–10% מכל עסקה. כשמדברים על €336 מיליון שעברו דרך השירות — אלה עמלות של עשרות מיליוני אירו בכיסיהם של המנהלים.
AudiA6 אמנם לא היה השירות היחיד מסוגו — אבל הוא התמחה בשירות כופרה ושמר על קשרים עסקיים ארוכי-טווח עם יותר מ-15 כנופיות פעילות.
מי השתמש בשירות?
על פי החקירה, AudiA6 שירת יותר מ-15 כנופיות כופרה פעילות ברחבי העולם, וקושר לחקירות בינלאומיות מרובות. ניתוח ה-Blockchain שביצעו TRM Labs חשף כ-393 BTC שהתקבלו ישירות מארנקים מזוהים של שווקי Darknet ומבצעי כופרה.
פירוש הדבר: AudiA6 לא היה “שירות הלבנה כללי” — הוא היה תשתית פיננסית קריטית של מערכת האקולוגית הפלילית הסייברית. בלעדיו, כנופיות כופרה היו מתקשות יותר לממש את הרווחים שלהן, ולכן גם לממן מתקפות עתידיות.
איך אירופול עקב אחריהם?
הנחת היסוד שעברייני סייבר מסתמכים עליה — “קריפטו = אנונימיות” — הוכחה שגויה שוב ושוב. הנה כיצד רשויות האכיפה בנו את התיק:
ניתוח Blockchain: חברות כמו Chainalysis ו-TRM Labs מספקות כלים שמסוגלים לעקוב אחרי תזרים הכספים גם דרך שרשראות ארנקים מורכבות. כשמוצאים כתובת ארנק מזוהה של קורבן כופרה — אפשר לעקוב לאן הכסף זרם, גם אחרי עשרות “מעברים”.
מודיעין פורומי Darknet: חברת Searchlight Cyber, המתמחה במודיעין Dark Web, סייעה לרשויות האכיפה על ידי מעקב אחר פרסומות ומוניטין של AudiA6 בפורומי הפשע הסייברי. שם ניתן ללמוד על שיטות הפעולה, הלקוחות, ולפעמים — זהויות.
עבודת מודיעין מסורתית: מעקב ה-Blockchain נותן תמונה פיננסית; חקירות מסורתיות — HUMINT, שיתוף פעולה בין גופי אכיפה, ניטור תקשורת — משלימות אותה עם זהויות אנושיות.
תיאום בין-לאומי: ב-11 מדינות שהשתתפו במבצע — ביניהן ארה”ב (DOJ ו-Secret Service), גרמניה, הולנד, פולין, ופינלנד — כל אחת אחזיקה חלק אחר מהפאזל. רק תיאום מלא מנע ממנהלי AudiA6 לזהות את החקירה, להעלים ראיות, או לברוח.
המבצע ב-10 ביוני 2026: מה קרה ביום X
ב-10–11 ביוני 2026 הופעל המבצע בו-זמנית:
בגאורגיה: שני המנהלים הנחשדים — אחד אוקראיני ואחד רוסי — נעצרו. שלושה נכסים נחפשו. מעל 80 רכבים הוחרמו — תצוגה ויזואלית מכוונת של היקף הרווחים שהניב השירות.
ברחבי העולם: 25 דומיינים נתפסו ומחליפה אותם כעת “שלט תפיסה” של רשויות האכיפה. יותר מ-30 שרתים הורדו. €692,000 בקריפטו הוקפאו ו-€86,000 הוחרמו ישירות.
המסר: לא רק פגיעה תפעולית — אלא גם מסר ברור לפושעים אחרים שהסתמכו על AudiA6 לשירותי הלבנה: אין מקום בטוח.
מה זה אומר לעתיד הפשע הסייברי?
פירוק AudiA6 הוא חלק ממגמה: זוהי הפעלה השלישית הגדולה נגד שירות הלבנת קריפטו בשנתיים האחרונות, אחרי Tornado Cash ו-ChipMixer. כל פירוק כזה יוצר חיכוך — מאלץ כנופיות כופרה לחפש שירותי הלבנה חלופיים, לשלם יותר, לחכות יותר, ולהיחשף לסיכון גבוה יותר של זיהוי.
“אנונימיות” הקריפטו היא מיתוס: כל ניתוח Blockchain מוצלח מוכיח שהרשומה הציבורית — שנחשבה לנקודת חוזק פרטיות — הפכה לנקודת חולשה. אחת לכמה שנים, TRM Labs או Chainalysis מצליחות לפרום גם את שרשראות ההלבנה המורכבות ביותר.
עבור ארגונים ופרטים: כל תשלום כופר לא רק מממן את המתקפה הספציפית — הוא מממן גם את תשתית ההלבנה שמאפשרת לכנופיה להמשיך לפעול. ה-DOJ האמריקאי ממשיך להמליץ בחום: אל תשלמו כופר. הגיבוי, בידוד מהיר של מערכות נגועות, ושחזור ממידע גיבוי — אלה הדרך.
סיכום
אירופול ושותפיה הוכיחו שוב שגם שירותי הלבנה מורכבים ומסתוריים — כאלה שפועלים שנים בצל — ניתנים לאיתור, תיעוד, ולבסוף — פירוק. AudiA6 היה תשתית כספית קריטית למערכת הכופרה הגלובלית; כעת, 15+ כנופיות מחפשות פתרון חלופי, ולא בנחת.
הנה הלקח המרכזי: מערכת האקולוגית של פשע הסייבר היא כלכלה פלילית מקושרת — תקיפת כל צומת בה, גם הצמתים הפיננסיים, מפריעה לשרשרת כולה. וכשרשויות האכיפה בוחרות לתקוף את ה”צינור” שדרכו הכסף הגנוב נהיה שמיש — הן מכות בסיבה שגורמת לכנופיות לשרוד: יכולת הרווח.
מקורות: Europol Press Release via The Hacker News | SC World | Help Net Security | TRM Labs
תגובות