ZATAZ » Sanctions contre l’hébergement russe pro-ransomware

Les sanctions coordonnées contre Media Land et Aeza visent le cœur de l’infrastructure russe d’hébergement « inviolable », clé pour les campagnes de ransomwares et d’opérations de cybercriminalité à l’échelle internationale.

Les États-Unis, le Royaume-Uni et l’Australie ont sanctionné Media Land, Data Center Kirishi, ML Cloud et le réseau lié à Aeza Group, accusés d’offrir une infrastructure « à l’épreuve des balles » à des groupes de ransomwares et à d’autres acteurs de la cybercriminalité. Adresses IP, serveurs, domaines et sociétés écrans forment un écosystème technique permettant de diffuser des malwares, de bâtir des botnets et de mener des attaques contre des infrastructures critiques. En parallèle, la CISA publie un guide pour aider opérateurs réseau et équipes de défense à identifier et contrer ce type d’hébergeurs. Cette offensive conjointe mêle sanctions financières, pression réglementaire et doctrine technique, avec un objectif clair : priver les cybercriminels de sanctuaires numériques tolérants à leurs activités.

Media Land dans le viseur des sanctions occidentales

Au cœur de cette nouvelle série de mesures, Media Land, fournisseur d’hébergement sécurisé basé à Saint-Pétersbourg, est présenté comme un acteur central des infrastructures pro-ransomware. Zataz vous parlait de cet hébergeur pas comme les autres dans l’article lié à la fraude XXL aux abonnements gratuits de bus et transports publics. Selon le Trésor américain et ses partenaires, l’entreprise fournit aux pirates des adresses IP, des serveurs et des noms de domaine utilisés pour héberger des malwares, déployer des botnets et lancer des attaques de ransomware. Les autorités lui reprochent également d’avoir servi de base à plusieurs attaques par déni de service distribué visant des infrastructures critiques aux États-Unis.

Les États-Unis, le Royaume-Uni et l’Australie accusent Media Land de fournir directement des services à des plateformes criminelles en ligne et à des groupes de ransomwares bien identifiés, dont Lockbit, BlackSuit et Play. Dans l’écosystème cybercriminel, ce type d’hébergeur agit comme un fournisseur d’infrastructure « neutre » en apparence, mais crucial dans la chaîne opérationnelle : sans serveurs tolérants aux abus, les campagnes de ransomwares ou de vols de données deviennent plus faciles à perturber ou à démanteler.

Deux sociétés sœurs, Data Center Kirishi et ML Cloud, sont également visées par les sanctions. Ces entités fournissent d’autres briques techniques indispensables aux mêmes réseaux, renforçant l’image d’un groupe de services intégrés pensés pour offrir aux cybercriminels un environnement stable, résilient et difficile à saisir juridiquement. Le message des autorités occidentales est explicite : il ne s’agit pas seulement de bloquer des IP ou des domaines isolés, mais de cibler l’ensemble de la structure d’hébergement qui soutient les opérations malveillantes.

Les mesures ne se limitent pas aux entités juridiques. Washington et ses alliés nomment plusieurs individus clés : Aleksandr Volosovik, alias Yalishanda, dirigeant de Media Land ; sa directrice financière, Yulia Pankova ; et Kirill Zatolokin, présenté comme responsable de la collecte des paiements des clients et de la coordination des services avec les cybercriminels. Les désigner publiquement fait partie d’une logique de pression ciblée : geler d’éventuels avoirs, restreindre leurs déplacements et signaler aux intermédiaires financiers que ces acteurs sont désormais explicitement associés à des activités de cybercriminalité.

Pour John Hurley, sous-secrétaire au Trésor américain, ces hébergeurs « prétendument inviolables » fournissent des services essentiels aux cybercriminels, facilitant des attaques qui touchent des entreprises américaines et celles de pays alliés. Le terme « inviolable » renvoie à une caractéristique structurante : ces fournisseurs ne répondent ni aux plaintes des victimes ni aux demandes de retrait des forces de l’ordre. En se plaçant volontairement en dehors des pratiques de coopération habituelles, ils se positionnent comme des refuges techniques pour activités illicites.

Aeza Group et son réseau de sociétés écrans

Au-delà de Media Land, les autorités s’attaquent à un autre pilier de l’hébergement à sécurité renforcée : Aeza Group, basé lui aussi à Saint-Pétersbourg. Les États-Unis et le Royaume-Uni sanctionnent Hypercore, présenté comme une société écran utilisée par Aeza pour contourner les sanctions déjà prononcées. Hypercore est enregistrée au Royaume-Uni et sert, selon les autorités, de façade pour masquer la continuité de l’activité d’Aeza derrière un changement de nom et une nouvelle infrastructure.

Le Trésor américain rappelle avoir déjà sanctionné Aeza en juillet. La société aurait réagi en se rebaptisant et en déployant de nouveaux environnements techniques, afin de couper, en apparence, les liens avec l’ancienne structure. L’inscription d’Hypercore sur la liste des entités visées traduit une stratégie de poursuite : suivre les mutations, identifier les nouvelles façades et élargir les sanctions aux coquilles successives plutôt que s’arrêter à un nom commercial.

Les personnes physiques associées à Aeza sont également ciblées. Maksim Vladimirovich Makarov, présenté comme le nouveau directeur du groupe, est désormais sanctionné, tout comme un autre employé, Ilya Vladislavovich Zakirov. Deux sociétés écrans basées en Serbie et en Ouzbékistan, Smart Digital Ideas DOO et Datavice MCHJ, complètent la liste. Elles sont décrites comme des relais d’infrastructure permettant à Aeza de continuer à offrir des services en s’abritant derrière des juridictions diverses.

Selon les autorités américaines, Aeza a fourni des services d’hébergement à des groupes de ransomwares comme BianLian, ainsi qu’à des opérateurs de malwares voleurs d’informations tels que RedLine, Lumma et Meduza. Le groupe avait déjà été accusé d’avoir aidé des pirates à cibler des entreprises de défense et des sociétés technologiques américaines. Des chercheurs en cybersécurité ont par ailleurs établi un lien entre Aeza et une campagne de désinformation pro-Kremlin baptisée Doppelgänger, active en Europe depuis au moins 2022.

L’ensemble dessine un paysage où la frontière entre cybercriminalité financière, espionnage économique et opérations d’influence est floue. Une même infrastructure d’hébergement peut servir à lancer des attaques de ransomwares, héberger des outils de vol de données, mais aussi relayer des campagnes de propagande ou de désinformation. Pour les services de renseignement, ces hébergeurs deviennent des nœuds multifonctions de l’écosystème pro-Kremlin : relais techniques pour les mafias de la donnée, mais aussi plateformes utiles à des opérations d’influence plus directement politiques.

En sanctionnant ces entités et leurs dirigeants, les États-Unis et leurs alliés cherchent à compliquer l’accès à l’infrastructure pour les groupes de ransomwares et les opérateurs de malwares, tout en envoyant un signal aux prestataires d’hébergement : un modèle économique fondé sur l’ignorance volontaire des abus et la protection des clients criminels expose désormais à une réponse coordonnée au niveau international.

Un front technique pour réduire l’attrait de l’hébergement « inviolable »

Les sanctions s’accompagnent d’un volet technique et opérationnel. La CISA, avec d’autres agences américaines, publie un guide destiné aux organisations souhaitant mieux gérer les risques liés aux fournisseurs d’hébergement à l’épreuve des balles. Le document, élaboré par la Joint Ransomware Task Force, vise à aider les fournisseurs d’accès à Internet et les responsables de la défense des réseaux à contrer la menace croissante des attaques de ransomware.

Madhu Gottumukkala, directeur par intérim de la CISA, souligne que l’hébergement à l’épreuve des balles est l’un des principaux vecteurs de la cybercriminalité moderne. En rendant plus visibles ces infrastructures illicites et en donnant aux équipes de défense des mesures concrètes, l’agence espère compliquer la tâche des criminels qui cherchent à se dissimuler et faciliter le travail des partenaires chargés de protéger les systèmes critiques du quotidien.

Nick Andersen, directeur adjoint exécutif de la division cybersécurité de la CISA, insiste sur le rôle de complice joué par ces plateformes d’hébergement. En permettant aux cybercriminels de rester indétectables et difficiles à tracer, elles deviennent plus qu’un simple fournisseur de services : elles sont un rouage actif de la chaîne d’attaque. Le guide a donc pour objectif explicite de réduire l’efficacité de ces infrastructures prétendument inviolables et d’obliger, à terme, les cybercriminels à se rabattre sur des fournisseurs légitimes, eux-mêmes soumis à des obligations de coopération.

Cette stratégie vise à modifier l’économie de la cybercriminalité. Tant que des hébergeurs « blindés » ignorent les plaintes, refusent les demandes de retrait et acceptent sans sourciller des clients à haut risque, les groupes de ransomwares et de malwares disposent d’un refuge prévisible. En réduisant la marge de manœuvre de ces acteurs via sanctions, pression internationale et outils de détection, les autorités espèrent augmenter le coût opérationnel de chaque campagne malveillante. Plus il devient nécessaire de changer de fournisseurs, de masquer les flux et de contourner les blocages, plus les chances d’erreur et de traçabilité augmentent pour les enquêteurs.

Les forces de l’ordre ont déjà ciblé d’autres fournisseurs d’hébergement russes réputés « à l’épreuve des balles », comme Zservers et Lolek Hosted. Dans ces affaires, plusieurs personnes ont été condamnées à des peines de prison pour leur rôle dans la gestion de ces services. Cette évolution marque un glissement : l’hébergeur n’est plus vu comme un simple intermédiaire, mais comme un acteur pouvant être tenu pour responsable de la persistance des infrastructures criminelles qu’il abrite.

Pour les équipes de cybersécurité et les services de renseignement, l’offensive actuelle contre Media Land, Aeza et leurs satellites s’inscrit dans ce mouvement de fond. L’objectif n’est pas seulement de fermer quelques serveurs, mais de fragiliser, dans la durée, le modèle de l’hébergement inviolable, en le rendant plus risqué juridiquement, plus coûteux financièrement et plus difficile à maintenir dans l’ombre.