Het is misschien verkeerd, maar er was een goede reden voor: neutralisatie door een beroep te doen op hogere loyaliteiten

Dit artikel is deel vijf in een serie over hoe cyberafpersing (Cy-X) en ransomware dreigers neutralisatietechnieken gebruiken om af te wijken van de sociale normen om deel te nemen aan kwaadaardige activiteiten. Het eerste artikel introduceerde de onderzoeksaanpak en de theorie van neutralisatietechnieken. In het tweede en derde artikel werd verder ingezoomd op hoe dreigende partijen ontkennen dat ze schade veroorzaken en het bestaan van slachtoffers of de aanspraak op slachtofferschap ontkennen.

De meest recente toevoeging van deze serie onderzocht hoe dreigende partijen de aandacht afleiden van hun eigen acties door mensen of instellingen te bekritiseren die zich verzetten tegen hun kwaadaardige activiteiten. Deze techniek staat bekend als 'het veroordelen van de veroordelaars'.

Zoals in deze serie is beschreven, worden de verschillende vormen van neutralisatie technieken gebruikt door mensen die deelnemen aan criminaliteit om tijdelijk af te wijken van geaccepteerde normen zonder de maatschappelijke moraal aan te tasten (Sykes en Matza, 1957).

Zoals we door deze serie heen hebben beschreven, zijn er verschillende vormen van neutralisatietechnieken waardoor mensen die deelnemen aan criminaliteit tijdelijk kunnen afwijken van geaccepteerde normen zonder de maatschappelijke moraal aan te tasten (Sykes en Matza, 1957).

De focus van dit artikel ligt op de techniek die bekend staat als 'beroep op hogere loyaliteiten'. Sociale normen of verwachtingen worden opgeofferd ten gunste van een schijnbaar meer dringende waarde, in de gedachten van de dreigende partij. Deze waarden kunnen loyaliteit aan familie zijn of een gevoel van verantwoordelijkheid dat voortkomt uit het behoren tot een sociale groep.

_{Figuur 1: Items in de dataset met de neutralisatietechniek 'beroep op hogere loyaliteiten'}

Wat de norm van 'hogere loyaliteit' ook is, Sykes en Matza suggereren dat het conflict tussen deze norm en de maatschappelijke moraal leidt tot een intern dilemma dat uiteindelijk wordt opgelost ‘ten koste van het overtreden van de wet’ (Sykes en Matza, 1957: 669). Ze suggereren dat maatschappelijke normen niet noodzakelijkerwijs worden verworpen, maar dat andere normen (tijdelijk) voorrang krijgen.

Een persoon kan bijvoorbeeld erkennen dat het 'verkeerd is om te stelen', maar toch stelen omdat de rest van de groep verwacht dat diegene zich conformeert.

In wat volgt bespreken we drie variaties van het beroep doen op hogere loyaliteiten. De eerste is het helpen van mensen in nood. Dreigende partijen deden een beroep op altruïsme, door te suggereren dat hun Cy-X activiteiten liefdadigheids- of filantropische voordelen hadden door donaties of pro bono-werk.

In het tweede thema, maatschappelijke vooruitgang, stelden bedreigende partijen dat hun acties organisaties dwongen om cyberbeveiliging serieus te nemen. Ze stelden met name dat hun aanvallen als katalysator dienden voor technologische ontwikkelingen en procedurele innovaties.

Het eerste thema dat uit de data naar voren kwam was een beroep doen op altruïsme. In plaats van te focussen op de schadelijke gevolgen van ransomware infectie en afpersing van slachtoffers, richten sommige dreigende partijen zich op filantropische donaties of liefdadigheid intenties. DarkSide erkende bijvoorbeeld dat hun Cy-X activiteiten als 'ethisch dubieus' kunnen worden gezien. Ze wilden echter ook in een positief daglicht komen te staan door een deel van hun opbrengsten aan goede doelen te doneren:

Vandaag hebben we de eerste donaties verstuurd:

- children.org - arme kinderen helpen om onderwijs te krijgen.

Donatiebedrag: $ 10,000.

- thewaterproject.org - Afrikanen helpen met toegang tot drinkwater.

Donatiebedrag: $ 10,000.

Laten we van deze wereld een betere plek maken :)

(DarkSide, Aankondiging 2)

De laatste regel leest als een oproep tot actie, die de lezers, of mogelijk zelfs slachtoffers, lijkt uit te nodigen om mee te doen aan het ransomware en Cy-X activiteiten van DarkSide. De zin klinkt ook als een slogan die een liefdadigheidsinstelling zou kunnen gebruiken. Op deze manier lijkt DarkSide zichzelf te karakteriseren als goedwillend in plaats van kwaadwillend.

De dreigende partij HolyGhost probeerde zichzelf openlijk altruïstisch voor te stellen, met hun naam en logo om zichzelf als moreel superieur aan andere ransomware criminelen te positioneren.

_{HolyGhost, Over ons 1}

De afbeelding van de duif en de naam 'HolyGhost' verwijzen symbolisch naar de 'Heilige Geest' van het Christendom, die volgens gelovigen fungeert als de helper. Bovendien appelleert het manifest van HolyGhost expliciet aan dit religieuze altruïsme. Door te beweren dat ze de ‘armen’ hielpen door geld aan liefdadigheidsinstellingen te geven, dat ze van slachtoffers hadden afgeperst. Zelfs het gebruik van het woord ‘struggle’ impliceert dat het werk van HolyGhost om de armen te helpen een morele last is die ze op zich hebben genomen.

Het woord ‘struggle’ zou ook een taalfout kunnen zijn, omdat Engels niet de eerste taal van de auteur lijkt te zijn. Een andere mogelijke betekenis zou kunnen zijn 'Waar streven we naar?' Daarmee beschrijft en rechtvaardigt HolyGhost het bericht en hun acties, bijna als een mission statement.

In andere gevallen hebben dreigende partijen geprobeerd zichzelf af te schilderen als welwillend tegenover bepaalde soorten slachtoffers die waren geïnfecteerd met ransomware. In een van hun aankondigingen gaf Cl0p duidelijk aan dat bepaalde soorten organisaties verboden terrein waren:

LET OP!!!

We hebben nog nooit ziekenhuizen, weeshuizen, verpleeghuizen of liefdadigheidsinstellingen aangevallen en dat zullen we ook niet doen. Als er per ongeluk een aanval plaatsvindt op een van de voorgaande organisaties, zullen we de decryptor gratis ter beschikking stellen, onze excuses aanbieden en helpen de kwetsbaarheden te verhelpen.

(Cl0p, Aankondiging 1)

Cl0p's aanbod van een gratis decodeerprogramma en het verhelpen van kwetsbaarheden voor liefdadigheidsinstellingen en gezondheidszorgorganisaties was hypothetisch in het bovenstaande citaat. Babuk verwees daarentegen naar specifieke voorbeelden, waarbij ze hun liefdadigheidsintenties in daden hadden omgezet.

Het komt voor dat het slachtoffer beweert dat hij niet de middelen heeft om ons salaris te betalen. We controleren dan de financiële situatie van het slachtoffer en nemen een beslissing over de hoogte van ons honorarium. Onlangs hebben we een Afrikaans bedrijf aangevallen dat handelde in brandstof, maar door de pandemie verloor het bedrijf financiële liquiditeit en had het eigenlijk niet de middelen om ons te betalen. We namen ontslag en leverden de decryptietool gratis.

(Babuk, Interview 2)

In het eerste voorbeeld beweerde Babuk de financiële draagkracht van elk slachtoffer te evalueren. Toen ze een Afrikaans bedrijf aanvielen, besloten ze af te zien van de decryptiekosten. De subtekst is een verondersteld stereotype, namelijk dat Afrikaanse bedrijven arm of kwetsbaar zijn en zich niet kunnen veroorloven om losgeld te betalen. Door zich op dit stereotype te beroepen, kon Babuk zichzelf presenteren als altruïstisch of welwillend, ook al vielen ze in eerste instantie het slachtoffer aan.

Deze vormen van 'nabeschouwing’ kunnen ook worden waargenomen bij andere dreigende partijen, wat het argument benadrukt dat deze aanvallen vaak opportunistisch van aard zijn. Als na de eerste aanval blijkt dat de organisatie het losgeld niet kan betalen of behoort tot een sector die is beloofd te worden ontzien, kunnen dreigende partijen gratis een decodeerprogramma 'aanbieden' om hun schadelijke acties recht te zetten.

In het tweede voorbeeld beweerde Babuk een verpleeghuis gratis te helpen:

We hebben onlangs een verpleeghuis geholpen. We hebben kwetsbare plekken in hun netwerk gevonden en deze volledig pro bono gepatcht. We respecteren ouderen en diegenen die hen helpen. Het is geen kwestie van cultuur of religie - het is gewoon zo dat iedereen respect moet hebben voor ouderen, gehandicapten en de mensen en instellingen die hen helpen.

(Babuk, Interview 2)

Babuk beroept zich ook op het gevoel van altruïsme van de lezers door hun betrokkenheid bij misdaad te rechtvaardigen door te laten zien hoe het ook kan worden toegepast op liefdadigheidsdoelen.

Deze drie quotes dienen een tweeledig doel voor de dreigende partijen. Aan de ene kant proberen ze aan te tonen in staat te zijn om 'goed te doen' - althans, dat willen ze ons doen geloven. Aan de andere kant lijken ze zichzelf te positioneren als 'rechters'. Cl0p en Babuk lijken de autoriteit op zich te nemen om te beslissen wie 'goed' of 'onschuldig' is (en niet aangevallen mag worden) en wie een legitiem doelwit is (om aangevallen te worden). Met andere woorden, deze citaten creëren een morele setting voor hun acties.

In tegenstelling tot Cl0p en Babuk deed LockBit een beroep op een specifieke vorm van altruïsme met als reden het helpen van een ziek familielid. Dit is in lijn met een van de archetypische voorbeelden van deze neutralisatietechniek beschreven door Sykes en Matza (1957).

V: Toen je dollarmiljonair werd, in hoeverre veranderde dit gevoel jou als persoon? Wat is er fundamenteel veranderd in uw wereldbeeld?

A: Het gaf me vertrouwen in de toekomst en ook de mogelijkheid om een zeer dure operatie te betalen die nodig was voor mijn broer. Mijn houding ten opzichte van veiligheid en anonimiteit is fundamenteel veranderd.

(LockBit, Interview 2)

In de bovenstaande voorbeelden zien we dus aanwijzingen dat dreigende partijen hun Cy-X activiteiten in een positief, altruïstisch daglicht stellen. Deze oproep zorgt voor een moreel dilemma, waarbij het gedrag wordt gezien als een schending van de maatschappelijke moraal, maar tegelijkertijd ook liefdadig van aard kan zijn.

Het tweede thema dat we zien in onze dataset zijn gevallen waarin dreigende partijen suggereerden dat ransomware-aanvallen en cyberafpersing organisaties over de hele wereld dwongen tot veranderingen in informatiebeveiligingspraktijken.

Dit was de meest frequente zin die we zagen die door dreigende partijen werd gebruikt om hun acties te neutraliseren met behulp van de techniek 'beroep doen op hogere loyaliteiten', die voorkwam in twaalf unieke items in de dataset van zeven verschillende dreigende partijen.

Neutralisaties zoals deze deden een beroep op rationaliteit, waarbij dreigende partijen hun aanvallen afschilderden als onderdeel van een groter gedragspatroon dat organisaties uiteindelijk zou dwingen om hun cyberbeveiligingshouding te veranderen en te versterken.

Deze vorm van neutralisatie is eerder waargenomen door Hutchings en Clayton (2016), die ontdekten dat hackers geloven dat hun acties bijdragen aan een bredere verbetering van de netwerkbeveiliging. Zoals we in onze eigen dataset vinden, rechtvaardigen bedreigers de criminele aard van Cy-X activiteiten omdat ze zogenaamd een veiligere en meer beveiligde samenleving creëren.

Kijk bijvoorbeeld eens naar dit fragment uit een van de persberichten van Maze:

Onze wereld zinkt weg in roekeloosheid en onverschilligheid, in luiheid en domheid. Als je de verantwoordelijkheid neemt voor andermans geld en persoonlijke gegevens, probeer het dan veilig te houden. . .  Hoe komt het dat jullie niet begrijpen dat op dit moment een hackeraanval genoeg is om een groot gebied of een land de toegang tot internet, water, gas en elektriciteit te laten verliezen.

 Maze, persbericht november 2020

Maze levert commentaar door het probleem van een slechte internetbeveiliging over de hele wereld te identificeren en te problematiseren. De implicatie is dan dat Cy-X activiteiten dienen als belangrijke katalysator voor het veranderen en verbeteren van beveiligingspraktijken.

Maze had al eerder op dit probleem gewezen in een eerder persbericht, waarin ze stelden dat een van de belangrijkste factoren ‘onverantwoordelijke bedrijven’ zijn:

We zullen de situatie veranderen door onverantwoordelijke bedrijven te laten betalen voor elk datalek. Je zult steeds vaker over onze succesvolle aanvallen in het nieuws lezen.

Maze, persbericht maart 2020

Na de probleemschets positioneert Maze zichzelf als een agent die ‘de situatie zal veranderen’. Maze impliceert dat ‘onverantwoordelijke bedrijven’ onvermijdelijk hun beveiligingspraktijken zullen verbeteren, zodat ze geen slachtoffer worden van ransomware infecties. Maze suggereert dat hun criminele wandaden een hoger doel dienen voor een groter goed.

Ragnar_Locker maakte soortgelijke beweringen op vier afzonderlijke webpagina’s met gelekte vertrouwelijke informatie in onze dataset. Bijvoorbeeld:

Helaas zijn er nog steeds veel bedrijven die geen verantwoordelijkheid willen nemen voor de verzamelde persoonlijke informatie en die de beveiligingsmaatregelen niet willen verbeteren. Daarom zullen we nieuws blijven posten over bedrijven die weinig waarde hechten aan de privacy van hun klanten en partners.

Ragnar_Locker, Lek Pagina 2

We zijn er zeker van dat iedereen op de hoogte moet zijn van een dergelijke beslissing en onzorgvuldige houding van [AFGESCHERME BEDRIJFSNAAM] met betrekking tot dataprivacy. Dit lijkt misschien gek in de 21e eeuw, waarin alle bedrijven harder zouden moeten werken aan hun beveiligingsmaatregelen.

Ragnar_Locker, Lek Pagina 3

Deze thema's werden herhaald op de andere twee webpagina’s van Ragnar_Locker. In webpagina 2 met gelekte vertrouwelijke informatie opent de dreigende partij het doek voor de lezer. Hij geeft een duidelijke rechtvaardiging waarom hij bedrijven aanvalt. Ragnar_Locker beroept zich op de hogere waarde van het veiliger maken van de digitale samenleving, door organisaties te dwingen hun gedrag en praktijken te veranderen en hen te 'straffen' voor hun laksheid.

Quantum is nog explicieter in het presenteren van zichzelf als een katalysator voor verandering, die eerder gedwongen 'advies' geeft dan straft:

Over ons: Team van ervaren IT-professionals, toegewijd aan de netwerkbeveiliging als belangrijkste probleem van de 21e eeuw. We onderzoeken alle aspecten op dit gebied en dwingen bedrijven om IT-verdediging en -beveiliging te ontwikkelen.

Quantum, Over ons 1

Zowel BlackMatter als Babuk hebben in openbare interviews een soortgelijke argumentatie:

We ontkennen niet dat [ons] bedrijf destructief is, maar als we dieper kijken - als gevolg van deze problemen - worden er nieuwe technologieën ontwikkeld en gecreëerd. Als alles overal goed zou zijn, zou er geen ruimte zijn voor nieuwe ontwikkelingen.

BlackMatter, Interview 1

Ik wil niemand bedreigen, ik vraag alleen om alsjeblieft de buitenste perimeter te beschermen en er zullen geen problemen zijn.

Babuk, Interview 1
 

Tot slot kijken we nog een keer terug naar het manifest van HolyGhost. Zij verklaarden dat het derde doel van hun organisatie was:

3) Om uw beveiligingsbewustzijn te vergroten en u te laten weten wat er in uw bedrijf aan ruimte is.

HolyGhost, Over ons 1

Het voorbeeld van HolyGhost is kenmerkend voor deze vorm van neutralisatie. Door Cy-X activiteiten te framen als een katalysator voor een beter beveiligingsbewustzijn, worden dreigende partijen neergezet als belangrijke spelers voor het versterken van de digitale veiligheid in het algemeen.

Als we terugdenken aan het derde artikel in deze serie, waarin dreigende partijen het slachtoffer niet erkennen als slachtoffer, zien we enige overlap. Maar in plaats van de claim van een slachtoffer op ‘slachtofferschap’ af te wijzen op grond van nalatigheid, framen dreigende partijen aanvallen positief door de voordelen te benadrukken. Ze lijken de morele wateren te vertroebelen, zelfs als ze weten dat hun gedrag ethisch dubieus is.

De rol van en focus op het slachtoffer wordt dus kleiner, omdat het fenomeen van cyberafpersing wordt gepresenteerd als een project dat uiteindelijk positieve gevolgen zal opleveren voor de digitale samenleving.

Overkoepelend lijkt er echter een morele tegenstrijdigheid schuil te gaan: het bestaan van afpersingsaanvallen leidt ertoe dat de digitale samenleving minder veilig wordt. Dreigende partijen beweren dat ze een deel van de oplossing zijn voor een probleem dat ze zelf in het leven roepen - en waar ze flink van profiteren.

Het derde thema dat uit de data naar voren kwam, had te maken met de politieke motivaties of idealen van de dreigende partijen. In het bijzonder zagen we dat zij een politieke motivatie presenteerden om op een bepaalde manier hun betrokkenheid bij de Cy-X activiteiten te verzachten of te rechtvaardigen.

Als we bijvoorbeeld terugkeren naar het citaat uit het BlackMatter interview zien we een politieke ondertoon in hun taalkeuze:
 

[Interviewer]: Er zijn duidelijk veel getalenteerde professionals in uw team. Hoe komt het dat dit talent gericht is op destructieve activiteiten? . . .

BlackMatter: We ontkennen niet dat [onze] activiteiten destructief zijn, maar als we dieper kijken als gevolg van deze problemen worden nieuwe technologieën ontwikkeld en gecreëerd. Als alles overal goed zou zijn, zou er geen ruimte zijn voor nieuwe ontwikkelingen.

Er is één leven en daar halen we alles uit, ons bedrijf schaadt geen individuen en is alleen gericht op bedrijven, en een bedrijf heeft altijd de mogelijkheid om geld te betalen en al zijn data te herstellen.

(BlackMatter, Interview 1)

Het belangrijkste argument van BlackMatter is dat hun acties de ontwikkeling van nieuwe cyberbeveiligingspraktijken en -technologieën stimuleren. De laatste zin over slachtofferkeuze verraadt echter op subtiele wijze een politieke opvatting. Door te stellen dat ze zich alleen richten op bedrijven en niet op individuen, doet de dreigende partij een beroep op antikapitalistische waarden.

Ook door het idee van een 'bedrijf' te scheiden van de 'mensen', die er deel van uitmaken, objectiveert BlackMatter het slachtoffer. Om zo mogelijk hun eigen morele schuld te verminderen. Door dit te doen, omzeilen ze het feit dat het vrijgeven van interne informatie gemakkelijk individuele werknemers en klanten kan schaden, in plaats van alleen de organisatie als geheel. Er is ruimte voor verder onderzoek naar de psychologische langetermijneffecten die individuen ervaren nadat ze slachtoffer zijn geworden van cyberafpersing.

BlackMatter impliceert ook dat bedrijven legitieme doelwitten zijn voor de financiering van hun project om het internet veiliger te maken, door nieuwe ontwikkelingen op het gebied van cyberbeveiliging te stimuleren. Omdat bedrijven "altijd [de] mogelijkheid [hebben] om geld te betalen en al [hun] data te herstellen", lijkt BlackMatter een negatieve houding aan te nemen ten opzichte van het vermogen van bedrijven om rijkdom te genereren.

_{BlackMatter, Onderhandelingschat 2}

Dreigende partijen lijken in sommige onderhandelingschats, zoals het bovenstaande fragment van BlackMatter, te bepalen of de slachtoffers het losgeld wel of niet kunnen betalen door de inkomsten op te zoeken. Ze lijken geen aanvullende analyse uit te voeren op basis van winst. Als dreigende partijen twijfelen, vragen ze het slachtoffer om bewijs te leveren waarom ze het losgeld niet kunnen betalen op basis van de verzamelde inkomstencijfers.

Bovendien lijkt onderstaande afbeelding van Harons slachtofferportaal ook een politieke ondertoon te hebben:

_{Haron, Slachtofferportaal 1}

De bovenstaande afbeelding heeft twee opmerkelijke elementen: het Guy Fawkes-masker dat over het militaire propagandabeeld van Uncle Sam is gelegd, die soldaten werft voor het leger van de Verenigde Staten tijdens de Eerste Wereldoorlog.

Het gebruik van het Guy Fawkes masker, populair geworden in V for Vendetta, verwijst naar het hacktivisten collectief Anonymous. Haron's toevoeging van dit element suggereert dat ze zichzelf zien als de veroorzaker van schade voor een groter (onbeschreven) goed. Tegelijkertijd is het gebruik van een masker gangbaar in de cyberwereld en zou symbool kunnen staan voor het behoren tot een specifieke sociale groep, wiens agenda boven de maatschappelijke normen wordt gesteld. Zo kan de dreigende partij de wet overtreden door loyaler te zijn aan hun eigen groep.

Ook het beeld van Uncle Sam roept het idee op van een vorm van politieke actie. Het is echter minder eenvoudig om de functie af te leiden zonder meer informatie van Haron. Het zou kunnen duiden op een publieke oproep om onverantwoordelijke bedrijven te dwingen informatiebeveiliging serieus te nemen, vergelijkbaar met het 'project' van Maze dat eerder in het artikel is aangehaald en in artikel drie is besproken. Een andere interpretatie zou ook letterlijk kunnen zijn, waarbij het doel van het beeld is om nieuwe rekruten aan te trekken.

Een andere mogelijkheid is dat het beeld gericht is op slachtoffers, waarbij de symboliek van Uncle Sam wordt opgeroepen als vertegenwoordiger van de federale regering van de Verenigde Staten. Op deze manier probeert Haron zich te positioneren als een autoriteit, door het slachtoffer te wijzen op wat hun volgende acties zouden moeten zijn.

Ook het DarkSide citaat dat we eerder in de eerste paragraaf bespraken, doet een beroep op politieke waarden:

Hoe slecht je ons werk ook vindt, we zijn blij om te weten dat we iemands leven hebben helpen veranderen. . . . Laten we van deze wereld een betere plek maken :)

(DarkSide, Aankondiging 2)

DarkSide verpakt hun oproep als onbaatzuchtigheid: een oproep tot actie. Ze lijken hun afpersingsaanvallen te compenseren met hun liefdadigheidsdonaties. De uitdrukking "Laten we doen" moedigt zowel de lezer als het slachtoffer aan om deel te nemen aan het proces van geld delen mensen die te maken hebben met sociaaleconomisch achterstanden.

In een van hun openbare aankondigingen na de takedown van REvil in oktober 2021 onder leiding van de wetshandhaving in de Verenigde Staten, combineerde Conti een beroep op politieke waarden met een beroep op groepsloyaliteit.

_{Conti, Aankondiging 2}

Hoewel de politieke ondertoon van dit tot uiting komt in tekst “verdrijf deze vette, vernederde bankiers”, is de solidariteit van Conti aan REvil niet iets wat we elders in onze dataset hebben waargenomen.

Conti toont hier een hogere loyaliteit aan de subculturele hackersgroep in reactie op de takedown van REvil. Hoewel het niet expliciet wordt gezegd, suggereert de zin "En we zullen je hier voortdurend aan blijven herinneren" dat Conti's toekomstige afpersingsaanvallen gemotiveerd zullen zijn door wat er met REvil is gebeurd, althans tot op zekere hoogte.

Deze groepsloyaliteit is iets dat is vastgesteld in de literatuur over neutralisatie, waar mensen voor een dilemma staan: ofwel ontrouw zijn aan hun eigen sociale subgroep (zoals een bende) of criminele activiteiten moeten ondernemen (Sykes en Matza 1957: 669).

Bovendien definieerden Steinmetz en Tunnell (2013) het beroep op hogere loyaliteiten als specifiek ook ingroup loyaliteit ten opzichte van de hacking subcultuur.

Zoals blijkt uit het bovenstaande citaat, is Conti's uiting van solidariteit met REvil een voorbeeld van hoe de neutralisaties van dreigende partijen door meerdere lagen heen lopen. Conti's affiniteit met de groep kruist een politieke opvatting die toestaat dat Westerse slachtoffers het doelwit zijn - Amerikaanse slachtoffers in het bijzonder.