Il 19 novembre 2025, Stati Uniti, Regno Unito e Australia hanno annunciato sanzioni contro una società di hosting internet con sede in Russia, Media Land, e diverse entità affiliate, citando il loro ruolo nel supporto alle operazioni di ransomware. La mossa prende di mira i cosiddetti servizi di “hosting a prova di proiettile” che presumibilmente permettono ai cybercriminali di lanciare attacchi contro imprese e istituzioni nei paesi alleati. L’azione coordinata riflette la crescente preoccupazione tra i paesi occidentali riguardo alle infrastrutture che sostengono la criminalità informatica su larga scala.
Secondo l’Ufficio per il Controllo degli Asset Stranieri del Tesoro degli Stati Uniti, le sanzioni riguardano Media Land, tre dei suoi dirigenti e tre società sorelle. Il Regno Unito ha replicato la mossa aggiungendo Aeza Group LLC e ML. Cloud LLC, entrambi legati alla stessa rete, alla sua lista di sanzioni. Come parte delle misure britanniche, sono stati imposti congelamenti dei beni e divieti di viaggio a quattro persone, e alle aziende britanniche è stato vietato fornire servizi internet o trust a una delle entità coinvolte. L’Australia ha dichiarato che adotterà misure allineate e ha sottolineato la necessità di interrompere le reti ransomware che colpiscono istituzioni pubbliche come ospedali e scuole.
La dichiarazione statunitense ha descritto Media Land e i suoi affiliati come “fornitori di servizi di hosting a prova di proiettile” che forniscono infrastrutture essenziali ai gruppi di cybercriminali. Questi servizi offuscano l’origine degli attacchi permettendo agli attori malintenzionati di ospitare o instradare operazioni attraverso giurisdizioni con un’applicazione limitata. Prendendo di mira il livello infrastrutturale piuttosto che i singoli hacker, i tre governi mirano a ridurre la capacità dei gruppi criminali organizzati di lanciare ransomware, campagne di denial-of-service distribuito o phishing su larga scala.
Le sanzioni sono significative perché evidenziano come il crimine informatico sia evoluto da attacchi opportunistici ad operazioni basate sulle infrastrutture. Le società di hosting specializzate in servizi “bulletproof” offrono ai clienti un’elevata tolleranza per contenuti dannosi, controlli deboli e una grande resilienza agli sforzi di rimozione. Tali fornitori sono sempre più visti come facilitatori di ecosistemi ransomware-as-a-service, con affiliati che si affidano alle loro reti per diffondere malware ed estorcere le vittime. Interrompendo questi servizi, i governi sperano di sconvolgere il modello di business dietro molte recenti intrusioni ad alto impatto.
Gli analisti affermano che la decisione sottolinea anche il valore del coordinamento internazionale nell’applicazione della legge informatica. La combinazione delle sanzioni finanziarie statunitensi, delle designazioni cibernetiche britanniche e dell’allineamento australiano dimostra come i paesi stiano unendo strumenti per colpire entità con sede al di fuori delle loro giurisdizioni. Queste forme di sanzioni includono il blocco dell’accesso alla finanza internazionale, la immobilizzazione dei beni e la restrizione delle relazioni commerciali, che in alcuni casi possono essere più dirompenti rispetto alle azioni penali. La natura transfrontaliera del crimine informatico rende tale cooperazione sempre più vitale.
Le sanzioni potrebbero anche avere effetti a catena di approvvigionamento e fornitori di servizi. Le entità che inconsapevolmente si affidano a servizi di hosting collegati alle aziende autorizzate possono affrontare rischi di conformità o interruzioni quando i loro fornitori vengono tagliati fuori dalle reti internazionali. Le aziende dovrebbero rivedere le loro relazioni con i fornitori e assicurarsi che i servizi di hosting o cloud non passino attraverso fornitori con collegamenti noti ad attività cibernetica illecita. Le istituzioni in settori critici come sanità, istruzione o manifatturiera potrebbero affrontare un’esposizione maggiore se non verificano l’origine della loro infrastruttura di rete.
La quotazione di Media Land e delle sue società sorelle segna una pietra miliare nella lotta contro la criminalità informatica guidata dalle infrastrutture. Fino ad ora, l’applicazione delle leggi si è spesso concentrata sull’attacco di singoli attori minacciosi o campagne malware dopo che sono avvenuti. Il nuovo approccio mira al livello “facilitatore”, ovvero i servizi di hosting e rete che le imprese criminali sfruttano per rimanere operative. Rimuovendo la piattaforma di servizio, la teoria è che gli attaccanti affronteranno costi più elevati, maggiore esposizione e un rischio maggiore di rilevamento.
I tre governi hanno dichiarato che continueranno a monitorare l’efficacia dell’azione e adotteranno ulteriori misure secondo necessità. Hanno citato i recenti attacchi ransomware a scuole, ospedali e imprese come prova che l’infrastruttura che ha permesso queste campagne deve essere interrotta. Gli osservatori affermano che gli sforzi futuri probabilmente includeranno designazioni simili, una cooperazione ampliata tra le agenzie internazionali di polizia e un controllo più dettagliato dei fornitori di hosting, dei registrar di dominio e delle piattaforme cloud.
Le sanzioni rappresentano un cambiamento significativo nell’applicazione della legge informatica. Invece di limitarsi a seguire il denaro dopo gli attacchi, i governi ora stanno puntando alle infrastrutture che permettono gli attacchi prima che avvengano. Le aziende e i fornitori di servizi vengono ricordati che le loro dipendenze di rete e i rapporti con i fornitori possono comportare rischi per la cybersecurity. La mossa richiama l’attenzione sull’importanza della trasparenza, della supervisione e della resilienza nelle infrastrutture internet.