Op 19 november 2025 kondigden de Verenigde Staten, het Verenigd Koninkrijk en Australië sancties aan tegen een in Rusland gevestigd internethostbedrijf, Media Land, en verschillende gelieerde entiteiten, waarbij ze hun rol in het ondersteunen van ransomware-operaties aanwezen. De maatregel richt zich op zogenaamde “kogelvrije hostingdiensten” die cybercriminelen naar verluidt in staat stellen aanvallen te lanceren op bedrijven en instellingen in bondgenootlanden. De gecoördineerde actie weerspiegelt de groeiende bezorgdheid onder westerse landen over de infrastructuur die grootschalige cybercriminaliteit ondersteunt.
Volgens het Office of Foreign Assets Control van het Amerikaanse ministerie van Financiën gelden de sancties voor Media Land, drie van haar leidinggevenden en drie zusterbedrijven. Het VK volgde deze stap door Aeza Group LLC en ML. Cloud LLC, beide gekoppeld aan hetzelfde netwerk, toe te voegen aan zijn sanctielijst. Als onderdeel van de Britse maatregelen werden bevriezingen van activa en reisverboden opgelegd aan vier personen, en werden Britse bedrijven verboden internet- of trustdiensten te leveren aan een van de betrokken entiteiten. Australië zei dat het op elkaar afgestemde maatregelen zou nemen en benadrukte de noodzaak om ransomwarenetwerken die openbare instellingen zoals ziekenhuizen en scholen treffen te verstoren.
De Amerikaanse verklaring omschreef Media Land en haar gelieerde organisaties als “kogelvrije hostingdienstverleners” die essentiële infrastructuur leveren aan cybercriminele groepen. Deze diensten vertroebelen de oorsprong van aanvallen door kwaadwillenden toe te staan operaties te hosten of te routeren via jurisdicties met beperkte handhaving. Door de infrastructuurlaag te richten in plaats van individuele hackers, willen de drie regeringen de mogelijkheid van georganiseerde criminele groepen om ransomware, gedistribueerde denial-of-service of phishingcampagnes op grote schaal te lanceren verminderen.
De sancties zijn belangrijk omdat ze laten zien hoe cybercriminaliteit is geëvolueerd van opportunistische aanvallen naar infrastructuurgebaseerde operaties. Hostingbedrijven die gespecialiseerd zijn in “bulletproof” diensten bieden klanten een hoge tolerantie voor kwaadaardige inhoud, zwakke controles en een hoge veerkracht tegen verwijderingspogingen. Dergelijke providers worden steeds vaker gezien als facilitatoren van ransomware-als-een-dienst-ecosystemen, waarbij partners vertrouwen op hun netwerken om malware te verspreiden en slachtoffers af te persen. Door deze diensten af te sluiten, hopen overheden het bedrijfsmodel achter veel recente ingrijpingen met grote impact te verstoren.
Analisten zeggen dat de beslissing ook het belang van internationale coördinatie bij cyberhandhaving onderstreept. De combinatie van Amerikaanse financiële sancties, Britse cyber-aanduidingen en de uitlijning van Australië laat zien hoe landen tools bundelen om entiteiten buiten hun eigen jurisdictie te targeten. Deze vormen van sancties omvatten het blokkeren van de toegang tot internationale financiering, het immobiliseren van activa en het beperken van zakelijke relaties, wat in sommige gevallen verstorender kan zijn dan strafrechtelijke vervolgingen. De grensoverschrijdende aard van cybercriminaliteit maakt dergelijke samenwerking steeds belangrijker.
De sancties kunnen ook rimpelingen hebben binnen toeleveringsketens en dienstverleners. Entiteiten die onbewust afhankelijk zijn van hostingdiensten die gekoppeld zijn aan de gesanctioneerde bedrijven, kunnen compliance-risico of verstoring lopen wanneer hun aanbieders worden afgesloten van internationale netwerken. Bedrijven moeten hun leveranciersrelaties herzien en ervoor zorgen dat hosting- of clouddiensten niet via providers met bekende banden naar illegale cyberactiviteiten lopen. Instellingen in kritieke sectoren zoals gezondheidszorg, onderwijs of productie kunnen een verhoogde blootstelling ondervinden als ze de oorsprong van hun netwerkinfrastructuur niet verifiëren.
De beursnotering van Media Land en haar zusterbedrijven markeert een mijlpaal in de strijd tegen door infrastructuur gedreven cybercriminaliteit. Tot nu toe richtte handhaving zich vaak op het aanvallen van individuele dreigingsactoren of malwarecampagnes nadat deze zijn gebeurd. De nieuwe aanpak richt zich op de “enabler”-laag, de hosting- en netwerkdiensten die criminele ondernemingen benutten om operationeel te blijven. Door het serviceplatform te verwijderen, is de theorie dat aanvallers hogere kosten, meer blootstelling en een groter risico op detectie zullen ondervinden.
De drie regeringen verklaarden dat zij de effectiviteit van de actie zullen blijven monitoren en indien nodig verdere stappen zullen ondernemen. Ze noemden recente ransomware-aanvallen op scholen, ziekenhuizen en bedrijven als bewijs dat de infrastructuur die deze campagnes mogelijk maakt, moet worden verstoord. Waarnemers zeggen dat toekomstige inspanningen waarschijnlijk vergelijkbare aanduidingen, bredere samenwerking tussen internationale wetshandhavingsinstanties en een meer gedetailleerde controle op hostingproviders, domeinregistrars en cloudplatforms zullen omvatten.
De sancties vertegenwoordigen een belangrijke verschuiving in de handhaving van cyberwetgeving. In plaats van alleen het geld na aanslagen te volgen, gaan overheden nu achter de infrastructuur aan die aanvallen mogelijk maakt voordat ze plaatsvinden. Bedrijven en dienstverleners worden eraan herinnerd dat hun netwerkafhankelijkheden en leveranciersrelaties cybersecurityrisico’s kunnen met zich meebrengen. Deze stap vestigt de aandacht op het belang van transparantie, toezicht en veerkracht in internetinfrastructuur.