11 mei 2021
Authors: Ivanche Dimitrievski, Adam Ridley and Diana Selck-Paulsson
Dit is het vierde artikel in de serie over hoe cyberafpersing (Cy-X) en ransomware dreigers gebruikmaken van neutralisatietechnieken om hun kwaadaardig gedrag te rechtvaardigen.
Het eerste artikel introduceerde de onderzoeksaanpak en gaf een meer gedetailleerd overzicht van hoe de neutralisatietheorie kan worden toegepast om de personen die deelnemen aan een misdrijf beter te begrijpen. In het tweede artikel werd verder ingezoomd op het gebruik van de neutralisatietechniek 'ontkenning van schade'. We demonstreerden hoe dreigende partijen hun kwaadaardig gedrag probeerden te herdefiniëren en positioneren als een 'zakelijke dienst'.
Het derde artikel richtte zich op de manier waarop dreigende partijen het bestaan van een slachtoffer ontkennen of de aanspraak van een slachtoffer op ‘slachtofferschap’ proberen te verminderen. We ontdekten dat dreigende partijen dit vooral deden door zichzelf te profileren als burgerwacht of door het slachtoffer de schuld te geven van zijn eigen tegenslag.
Om eigen afwijkende daden te rechtvaardigen, verleggen criminelen vaak de aandacht naar de motieven en het gedrag van degenen die hun daden afkeuren. ‘Rechters zijn corrupt’, zeggen ze dan. Dit proces wordt 'het veroordelen van de veroordelaars' genoemd. Het is een neutralisatietechniek die mensen, die deelnemen aan een misdaad, gebruiken om tijdelijk af te zien van geaccepteerde normen zonder de maatschappelijke moraal aan te tasten (Sykes en Matza, 1957).
De juistheid van uitspraken als 'rechters zijn corrupt' is niet zo belangrijk als de retorische functie. Door anderen aan te vallen, kan het onjuiste eigen gedrag namelijk gemakkelijker worden verdrongen of uit het oog worden verloren.
Uit de 232 onderzochte dossiers stelden we vast dat deze techniek in 31 gevallen werd gebruikt in 22 documenten. Dit is een laag aantal in vergelijking met de eerder beschreven neutralisatietechnieken, namelijk ‘het ontkennen van schade’ of ‘het ontkennen van het slachtoffer’, die respectievelijk meer dan 200 en 80 keer werden toegepast.
Figuur 1: Items in de dataset met de neutralisatietechniek 'veroordeling van de veroordelaars'
We zullen nu enkele voorbeelden delen van hoe mensen die betrokken zijn bij Cy-X en ransomware activiteiten hebben geprobeerd hun gedrag te herpositioneren ten opzichte van het gedrag van anderen die het veroordelen. We zullen enkele van de strategieën laten zien die bedreigende partijen gebruiken om het 'veld te effenen' waarin ze opereren. Daarnaast bekijken we enkele belangrijke implicaties van dit gedrag.
Net als in de vorige artikelen van deze serie zijn de citaten van dreigende partijen niet bewerkt op spelling, grammatica of zinsbouw.
Leden van de cyberbeveiligingsindustrie, journalisten, overheden en instellingen stonden centraal in de poging tot veroordeling door de dreigende partijen. In één set materialen bestond de neutralisatie uit het negatief afschilderen van de aard van deze entiteiten.
Zo noemde Babuk journalisten ’zieke koppen‘ (Aankondiging 1) en beschreef Conti hen als in staat om ’hun eigen moeder te verkopen voor een bot van bankiers of politici‘ (Aankondiging 2). Bovendien bestempelde Babuk gegevensbeveiligers als ’smerige roofdieren‘ (Losgeldbrief 3) en Conti pochte dat ’de neofascistische alliantie tussen de kleptocratieën van de VS en de EU’ hen niet zal tegenhouden (Aankondiging 3).
Dreigende partijen beschreven deze entiteiten als egocentrisch, gedreven door eigenbelang en niet begaan met mensen en hun data. Maze richtte zich daarom tot cyberbeveiligingsdeskundigen en schreef:
In plaats van iets te doen om de beveiliging te verbeteren, proberen die zogenaamde beveiligingsprofessionals een paar Likes te krijgen.
(Maze, persbericht maart 2020)
Dit is een direct poging om journalisten, cyberbeveiligingsexperts, overheden en instellingen te veroordelen voor hun morele opvattingen, werkethiek, ideologie en motieven, en deze negatief te framen.
In een andere reeks materialen bestond de neutralisatie uit het negatief afschilderen van de acties van deze entiteiten. Zo beweren Egregor, Everest en Maze in de volgende fragmenten dat recoverybedrijven en onderhandelaars in het geheim de eindprijzen tijdens losgeldonderhandelingen opblazen om er zelf een slaatje uit te slaan:
We hebben feiten en bewijzen van sommige herstelbedrijven die stiekem 10-50% toevoegen aan onze prijs voor de klant.
(Egregor, mededeling 1)
Luister bij het inhuren van externe onderhandelaars naar wat ze je vertellen, probeer na te denken: zijn ze echt geïnteresseerd in het oplossen van jouw problemen of denken ze alleen maar aan hun winst en ambities?
(Everest, Over ons 1)
Probeer bij het inhuren van onderhandelaars, vooral degenen die voor de overheid werken, en luister naar wat ze je vertellen te bedenken of ze echt geïnteresseerd zijn in het oplossen van jouw problemen of dat ze alleen maar denken aan hun eigen winst en ambities van de overheidsinstantie waartoe ze behoren.
(Maze, persbericht juni 2020)
Deze uitspraken zijn vergelijkbaar met wat Van Lente en Rip (1998) ’krachtige ficties’ noemen. Ze zijn 'fictief', in de zin dat herstelbedrijven en onderhandelaars duidelijk niet overeenkomen met het negatieve beeld dat dreigende partijen van hen hebben. Tegelijkertijd zijn ze ook 'dwingend‘ in de zin dat ze ruimte scheppen voor de acties en voorwaarden van de dreigende partijen. Door de acties van schadeherstelbedrijven en onderhandelaars negatief te framen, houden de bovenstaande verklaringen in stand dat dergelijke entiteiten vijanden in vermomming zijn.
Belangrijk is dat de uitspraken worden geformuleerd als waarschuwingen, waarbij wordt benadrukt dat er een bepaald kwaad kan ontstaan als slachtoffers een beroep doen op herstelbedrijven in het onderhandelingsproces. De implicatie is dat het slachtoffer misschien beter af is zonder hen.
Het gebruik van de neutralisatietactiek 'de veroordeelden veroordelen' is dus niet simpelweg een artefact van de criminele verbeelding. Onze analyse suggereert dat deze tactiek de sociale structuur en dynamiek van losgeldonderhandelingen beïnvloedt, met als gevolg dat het slachtoffer meer betaalt. Dit vraagt op zijn beurt om serieuze aandacht voor cyberaanvallen als socio-technische fenomenen, in plaats van kwesties die op technisch vlak begrepen en opgelost moeten worden.
Figuur 2: Motieven van bedreigingsactoren
We hebben eerder opgemerkt dat dreigende partijen de neiging hebben om 'veroordeelden' te beschrijven als mensen die uit zijn op winst en niet geven om mensen en hun data. Dergelijke beweringen werden vaak gebruikt tegen bedrijven, die slachtoffer werden van cybercriminaliteit, zoals in het volgende voorbeeld:
Het management van het bedrijf geeft niets om de toekomst van het bedrijf. Het geeft niet om de data en om zijn zakenpartners.
(Maze, persbericht april 2020)
Deze en soortgelijke beweringen zijn in meer detail besproken in het vorige artikel, waar we ons richtten op 'ontkenningen van het slachtoffer'. In het bovenstaande citaat van Maze wordt het slachtofferschap van het bedrijf niet ontkend, maar wordt de oorzaak van het ongeluk toegeschreven aan het management van het bedrijf.
Uitspraken als hierboven kunnen ook worden gelezen als indirecte veroordelingen van het bredere systeem dat bedrijven (of hun management) in staat stelt zich 'niets aan te trekken' van zakenpartners, mensen in het algemeen en hun data. In het volgende fragment gaat Maze expliciet in op dat systeem:
De wereld is een groot computersysteem. Maar degenen die over de veiligheid van dat systeem zouden moeten waken, zijn onverantwoordelijk. In plaats van hun werk te doen, chatten ze liever op sociale netwerken of kijken ze naar porno. Aan de andere kant, degenen die dit systeem hebben gemaakt en er miljarden mee verdienen, geven niets om de veiligheid van informatie of privacy problemen. Het enige waar ze om geven is het vermijden van rechtszaken en boetes voor het verlies van die informatie.
(Maze, Press Release March 2020)
In het bovenstaande citaat beschrijft Maze 'het systeem' als corrupt, fundamenteel gebrekkig en daarom moet het gerepareerd worden. In het volgende citaat neemt Cl0p de positie in van een 'fixer'.
Dit is een voorbeeld van een corrupt bedrijf dat de markt manipuleert en kennis en geld steelt van andere bedrijven en klanten. Cl0p lost dit allemaal op en laat corrupte bedrijven betalen voor hun misdaad, zelfs als de corrupte overheid niets doet.
(Cl0p, Lek pagina 2)
In overeenstemming met Woolgar (2005) kunnen we deze uitspraken bekijken als een 'moreel universum' waarin de verantwoordelijkheden en verwachtingen worden getoond die geassocieerd worden met de entiteiten die het universum bewonen. Bijvoorbeeld in het bovenstaande statement portretteert Cl0p zich als een zorgzame entiteit die de 'ware aard' van bedrijven en overheden onthult, en hen dwingt om het beter te doen voor mensen.
Wat we hier zien is het gebruik van 'maatschappelijke kritiek' om de dreigende partijen te herpositioneren van een gewone crimineel naar een bestraffer. Dit zorgt ervoor dat wat er met het bedrijf gebeurt, niet wordt gezien als een daad van geweld tegen een onschuldige entiteit, maar eerder als een vergelding.
We hebben laten zien dat de neutralisatietechniek 'het veroordelen van de veroordelaars' inhoudt dat de relaties tussen actoren in het cybercriminaliteitslandschap worden gedefinieerd. Hieronder vallen ook de pogingen om de kloof tussen dreigende partijen en andere entiteiten te herdefiniëren.
Zo vergeleek MountLocker zichzelf met advocaten - ‘gewetenloos en het systeem manipulerend voor hun eigen gewin’ (MountLocker, Interview 1). Deze vergelijking verkleint de veronderstelde afstand tussen deze twee actoren, door ze als onderdeel van dezelfde categorie te beschouwen, namelijk gewetenloze manipulators van het systeem’.
Bovendien stelt Babuk in het volgende interviewfragment dat onderzoekers van cyberbeveiliging bijdragen aan het verbeteren van de malware, door kwetsbaarheden te identificeren en bekend te maken:
We willen alle onderzoekers bedanken voor hun hulp bij het vinden van de kwetsbaarheid in ons product. Speciale dank aan Chuong Dong voor het verbeteren van onze encryptie en aan Emsisoft voor het helpen verbeteren van onze decryptor.
(Babuk, Interview 2)
DarkSide maakt een soortgelijke claim met betrekking tot BitDefender:
Speciale dank aan BitDefender voor het wijzen op onze tekortkomingen. Dit zal ons nog beter maken. Nu zul je ons nooit meer ontcijferen.
(DarkSide, forumbericht 1)
In deze voorbeelden worden onderzoekers en BitDefender, die buiten de criminele activiteit staan, er onderdeel van gemaakt. Door deze uitspraken worden entiteiten en de dreigende partijen medeplichtig gemaakt aan de daden die de slachtoffers ongeluk hebben gebracht. Door op deze manier de spot te drijven met onderzoekers en BitDefender, wordt het beeld dat dreigende partijen van zichzelf hebben als ‘niet te stoppen’ in stand gehouden.
Uit de bovenstaande analyse kunnen we afleiden dat slechts in enkele gevallen neutralisatie door 'het veroordelen van de veroordelaars' het duidelijke retorische effect heeft, dat de dreigingsactoren en hun acties worden 'gerechtvaardigd'. Voor het grootste deel resulteert het gebruik van deze neutralisatietechniek in het retorische effect van 'gelijke kansen creëren' tussen de dreigende partij en degenen die zij veroordelen.
In bredere zin kan het 'veroordelen van de veroordelaars' worden gekarakteriseerd als een evenwichtsoefening, waarbij de veronderstelde autoriteit in twijfel wordt getrokken. Bijvoorbeeld door journalisten te framen als 'bevooroordeeld', wordt de feitelijkheid van hun beweringen in twijfel getrokken. Door regeringen of cyberbeveiligingsdeskundigen als corrupt te bestempelen, wordt ook hun autoriteit over wat goed en fout is in twijfel getrokken.
In feite zeggen de dreigende partijen op deze manier dat entiteiten zoals overheden, journalisten, et cetera, niet kunnen oordelen omdat zij fundamenteel niet van hen verschillen. Dreigende partijen stellen daarmee dat er geen grondige reden is om de beweringen van journalisten en regeringen als 'de waarheid' aan te nemen, of om op deze entiteiten te vertrouwen als vertegenwoordigers van rechtvaardigheid.
Het taalgebruik van dreigende partijen is bekeken door het perspectief van de neutralisatietechniek 'het veroordelen van de veroordelaars'. Uit de analyse blijkt dat bedreigende partijen hun activiteiten 'vergelijkbaar' en soms zelfs 'ethischer' vinden dan de activiteiten en het gedragvan degenen die hen veroordelen, waaronder overheden, instellingen, journalisten en leden van de cyberbeveiligingsindustrie.
Het is naïef om deze vooronderstellingen klakkeloos te accepteren. Maar, zoals Sykes en Matza beschrijven, de geldigheid is niet zozeer belangrijk, maar eerder de retorische functie. Dergelijke voorstellingen van het uitgebreide cyberbeveiligingslandschap bemoeilijken het gegevensherstel en de onderhandelingen door twijfel te zaaien over de betrokken entiteiten.
'Het veroordelen van de veroordelaars' gaat niet alleen over rechtvaardiging en het goedpraten van crimineel gedrag, maar het maakt integraal deel uit van cyberaanvallen (breder opgevat) als socio-technische fenomeen. Er is een tipje van de sluier opgelicht van deze fenomenen door de retorische mechanismen en de effecten hiervan te identificeren.
Tegelijkertijd blijven er vragen over. Zijn deze veroordelingen slechts reacties of weerspiegelen ze gedeelde waarden en overtuigingen in dreigende partijen? Hoe hangen deze veroordelingen samen met de keuze van potentiële slachtoffers en het soort aanval? Op welke manieren en in welke mate beïnvloedt het 'veroordelen van de veroordelaars' het verloop en de uitkomst van losgeldonderhandelingen? Inzicht in deze vraagstukken is essentieel als we slimmere strategieën willen ontwikkelen om cybercriminelen aan te pakken.
In het volgende artikel gaan we in op de neutralisatietechniek die bekend staat als het 'beroep doen op hogere loyaliteiten'. Waarbij mensen die deelnemen aan criminele activiteiten hun acties rechtvaardigen door te beweren dat ze een ander belang (bijvoorbeeld financiële behoeften van familie) prioriteren dan de noodzaak om de wet te volgen.
Sykes, G M and D Matza (1957), ‘Techniques of neutralization: A theory of delinquency’, American Sociological Review, vol 22, no 6, pp 664-670.
Van Lente, H and A Rip (1998), ‘Expectations in technological developments: An example of prospective structures to be filled in by agency’, in C Disco and B J R van der Meulen (eds), Getting New Technologies Together, Walter de Gruyter, Berlin, New York, pp 195-220.
Woolgar, S (2005), ‘Mobile Back to Front: Uncertainty and Danger in the Theory-Technology Relation’, in R Ling and P E Pedersen (eds), Mobile Communications: Re-Negotiation of the Social Sphere, Springer-Verlag, London, pp 23-44.