Le 14 juillet 2026, le DOJ a inculpé trois ressortissants russes pour avoir opéré Media Land et ML.Cloud, deux services d'hébergement pare-balles utilisés par LockBit, BlackSuit et Play. 62 millions de dollars de dommages sur 42 victimes aux États-Unis.
En bref
- Le département américain de la Justice a inculpé trois ressortissants russes et deux entreprises pour avoir exploité Media Land et ML.Cloud, services d'hébergement pare-balles utilisés par LockBit, BlackSuit et Play.
- Les 42 victimes répertoriées — banques, hôpitaux, écoles et collectivités dans 21 États américains — ont subi plus de 62 millions de dollars de pertes.
- Les sanctions OFAC, coordonnées avec le Royaume-Uni et l'Australie, complètent le volet pénal et ciblent les avoirs et transactions des entités désignées.
Un réseau d'hébergement criminel au cœur de l'écosystème ransomware mis en cause
Le 14 juillet 2026, le département américain de la Justice (DOJ) a rendu public un acte d'accusation mettant en cause trois ressortissants russes et deux sociétés basées à Saint-Pétersbourg, accusés d'avoir fourni pendant plusieurs années une infrastructure dédiée à des opérations cybercriminelles d'envergure mondiale. Les inculpés sont Alexander Alexandrovich Volosovik (43 ans), Kirill Andreevich Zatolokin (34 ans) et Yulia Vladimirovna Pankova (29 ans), agissant sous couvert de leurs sociétés Medialand LLC et ML.Cloud LLC.
Ces deux entités constituent ce que les spécialistes appellent des services d'hébergement "pare-balles" (bulletproof hosting, ou BPH). Contrairement aux hébergeurs légitimes qui répondent aux demandes de retrait formulées par les forces de l'ordre ou les victimes, les opérateurs BPH ignorent délibérément les plaintes et les injonctions légales, parfois en faisant transiter leur trafic via des juridictions peu coopératives avec les autorités occidentales. Media Land et ML.Cloud ont fourni à leurs clients criminels une infrastructure distribuée dans plusieurs pays, notamment la Chine, la Finlande, les Pays-Bas et les États-Unis eux-mêmes, rendant le traçage et le démantèlement particulièrement complexes.
Les groupes ransomware LockBit, BlackSuit et Play figurent parmi les bénéficiaires identifiés de cette infrastructure. LockBit, l'un des ransomware-as-a-service les plus prolifiques de la dernière décennie, a été impliqué dans des centaines d'attaques contre des cibles critiques dans le monde entier. BlackSuit, successeur présumé de Royal Ransomware, a particulièrement ciblé le secteur de la santé américain en 2025 et 2026. Play, de son côté, a revendiqué des attaques contre des collectivités locales et des infrastructures industrielles en Europe et en Amérique du Nord.
L'acte d'accusation décrit également l'utilisation de l'infrastructure Media Land pour orchestrer des attaques par déni de service distribué (DDoS) contre des entreprises américaines et des infrastructures critiques, incluant des systèmes de télécommunications. L'investigation menée par le FBI en coordination avec les partenaires internationaux a permis d'identifier 42 victimes réparties dans 21 États américains, appartenant à des secteurs aussi divers que la finance, l'éducation, la santé et les administrations publiques.
Sur le plan pénal, les accusés font face à plusieurs chefs d'inculpation : complot en vue de commettre et faciliter des fraudes informatiques, complot en vue de commettre des fraudes par réseau électronique, fraudes par réseau électronique caractérisées, et complot en vue de blanchir des capitaux. Les peines encourues cumulées peuvent atteindre plusieurs dizaines d'années d'emprisonnement pour chaque inculpé.
Parallèlement au volet pénal, le Trésor américain a coordonné avec le Royaume-Uni et l'Australie une action conjointe de désignation OFAC visant les individus et sociétés concernés. Ces sanctions gèlent les avoirs éventuellement détenus dans les juridictions partenaires et interdisent à toute entité américaine ou alliée d'entretenir des relations commerciales avec les désignés. Une sanction distincte a également visé Yegeniy Vladimirovich Silayev, un ressortissant biélorusse accusé de vendre des "cryptors", c'est-à-dire des outils d'obfuscation permettant de dissimuler des malwares — dont des ransomwares — aux yeux des solutions antivirus.
Media Land opérait depuis au moins 2018, selon les documents judiciaires, construisant progressivement son réseau d'infrastructure tout en se présentant publiquement comme un hébergeur standard. Sa clientèle criminelle bénéficiait d'un service clientèle dédié, d'une haute disponibilité technique et d'une politique explicite de non-coopération avec les autorités. Le modèle économique reposait sur des tarifs supérieurs à ceux du marché légal, justifiés précisément par l'immunité opérationnelle offerte.
Les trois suspects demeurent présumés résider sur le territoire russe, rendant leur arrestation immédiate peu probable en l'absence d'extradition. L'acte d'accusation s'inscrit néanmoins dans une stratégie plus large de perturbation par l'exposition et la stigmatisation, déjà utilisée avec succès contre d'autres cybercriminels russes tels que les membres d'Evil Corp ou Fin7. La publication des identités et des détails opérationnels vise à réduire la surface de mouvement internationale des suspects et à nuire à leur réputation commerciale au sein de l'écosystème cybercriminel.
La neutralisation des hébergeurs pare-balles, maillon stratégique de la lutte anti-ransomware
L'affaire Media Land illustre un déplacement stratégique notable dans la doctrine de lutte contre les ransomwares. Pendant des années, les forces de l'ordre ont concentré leurs efforts sur les opérateurs de ransomware eux-mêmes — les développeurs, les affiliés, les négociateurs — tout en négligeant relativement les prestataires d'infrastructure. Cette approche présentait un défaut structurel : démanteler un groupe ransomware sans cibler ses fournisseurs de services revenait à élaguer un arbre sans s'attaquer aux racines. La reconstitution d'un nouveau groupe sous un autre nom, utilisant une infrastructure similaire, pouvait intervenir en quelques semaines.
Media Land et ML.Cloud représentent ce que certains analystes appellent la "couche d'abstraction" du cybercrime organisé. En fournissant un hébergement résilient, anonymisé et juridictionnellement opaque, ces services permettent à des dizaines d'acteurs malveillants de se concentrer sur leurs activités criminelles sans se préoccuper de la maintenance technique ou du risque d'exposition directe. Cibler cette couche s'avère donc potentiellement plus efficace que de cibler les utilisateurs finaux, car un seul prestataire peut desservir des dizaines d'organisations criminelles simultanément.
Cette action s'inscrit dans un pattern établi depuis 2023, avec notamment les opérations contre LockBit en 2024, la saisie de l'infrastructure de Dispossessor en 2025, et les poursuites répétées contre des prestataires de services criminels. Les États-Unis ont systématiquement associé les poursuites pénales à des sanctions économiques parallèles, multipliant ainsi les vecteurs de pression sur les cibles tout en affichant des résultats concrets à destination de l'opinion publique et des élus. La coopération trilatérale États-Unis / Royaume-Uni / Australie démontre également la capacité croissante des démocraties occidentales à aligner leurs réponses juridiques face aux cybermenaces étatiquement tolérées.
Pour les entreprises européennes, cette affaire rappelle que la sécurisation de leurs propres périmètres ne suffit pas : l'infrastructure cybercriminelle est un marché globalisé dans lequel des prestataires spécialisés fournissent des services à des acteurs malveillants de tout niveau. La coopération internationale est indispensable mais reste encore insuffisante face à des États non coopératifs comme la Russie, qui continue de faire office de zone de refuge pour de nombreux cybercriminels. Les entreprises ayant été victimes de LockBit, BlackSuit ou Play au cours des dernières années devraient surveiller les développements de ce dossier, qui pourrait aboutir à des informations sur les affiliés ayant conduit les attaques contre leurs systèmes.
Ce qu'il faut retenir
- Media Land et ML.Cloud fournissaient une infrastructure résiliente à LockBit, BlackSuit et Play, causant plus de 62 millions de dollars de dommages à 42 victimes américaines dans 21 États.
- Le DOJ a inculpé trois ressortissants russes pour fraude informatique, fraude électronique et blanchiment d'argent, en coordination avec des sanctions OFAC trilatérales États-Unis / Royaume-Uni / Australie.
- La mise en cause des fournisseurs d'infrastructure cybercriminelle constitue désormais un axe stratégique central dans la lutte anti-ransomware, en complément des actions directes contre les opérateurs.
Qu'est-ce qu'un service d'hébergement pare-balles et pourquoi est-il difficile à neutraliser ?
Un hébergeur pare-balles est une société qui fournit des services d'hébergement web ou de serveurs en ignorant délibérément les demandes de retrait et les injonctions légales. Sa résilience tient à sa présence dans des juridictions peu coopératives avec les autorités occidentales, à la rotation fréquente d'adresses IP et de serveurs, et à un modèle économique bâti sur l'impunité. Sa neutralisation nécessite une coordination internationale prolongée entre services de renseignement, forces de l'ordre et partenaires judiciaires, rendant les procédures lentes et complexes face à des acteurs capables de reconstituer rapidement leur infrastructure.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
D1R : nouveau groupe ransomware vise Synopsys et Bosch
Le 13 juillet 2026, le groupe ransomware émergent D1R a revendiqué des attaques contre Synopsys, Bosch et ARM sur son site darknet. Synopsys nie toute compromission, tandis que les preuves présentées apparaissent insuffisantes pour les experts.
Chine : la loi IA anthropomorphique entre en vigueur
Le 15 juillet 2026, la Chine a fait entrer en vigueur ses mesures sur les services interactifs IA anthropomorphiques. ByteDance et Alibaba ont désactivé leurs fonctionnalités de compagnons et agents IA personnalisés pour des millions d'utilisateurs.
OAuth client ID spoofing cible Entra ID sans déclencher d'alerte
Proofpoint révèle le 13 juillet 2026 une technique d'OAuth client ID spoofing permettant à des attaquants de valider des millions de credentials Microsoft Entra ID volés sans générer aucun événement visible dans les journaux.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire