Nobele burgerwacht en schuldvraagomkering: neutralisatie bij cyberafpersing door 'ontkenning van het slachtoffer'

De tweede manier waarop we hebben gezien dat dreigingsactoren zichzelf als burgerwacht positioneren, is wanneer ze stellen dat hun slachtoffers nalatig of roekeloos zijn met informatiebeveiliging. Wetenschappers hebben dit argument eerder gekoppeld aan de ontkenning van de slachtoffertechniek, zoals Chua en Holt (2016: 539) uitleggen:

“Het onvermogen van eindgebruikers om hun systemen te beschermen tegen compromitteringen of om te begrijpen hoe ze werken, wordt door sommigen gebruikt als een rechtvaardiging om zich bezig te houden met systeemcompromitteringen en kwaadaardige hacks.”

- (Chua en Holt, 2016: 539)

Het burgerwachtgedrag (dat wil zeggen: cyberafpersing) is dan bedoeld om bedrijven te dwingen hun praktijken te veranderen. Maze liet dit type neutralisatie zeer vaak zien, hoewel we ook voorbeelden zullen onderzoeken van Ragnar_Locker, Karakurt en SunCrypt.

In openbare aankondigingen beweerde Maze vaak dat slachtofferorganisaties het belang van de bescherming van gevoelige gegevens niet begrepen. Maze gebruikte dit gebrek aan bewustzijn om de cyberafpersing te rechtvaardigen en zo de cyberbeveiligingspraktijken van slachtoffers te verbeteren.

“Maar soms begrijpen bedrijven het risico van informatielekken niet, vooral de privé-informatie. Wij zijn gespecialiseerd in privé-informatie van klanten, financiële informatie, databases, creditcardgegevens, NDA-documenten en alle onderzoeken van het bedrijf ... We kunnen gewoon niet begrijpen waar [VERTROUWDE BEDRIJFSNAAM] het over heeft op het gebied van cyberbeveiliging, want ze hebben een veiligheidslek ter grootte van Australië in hun veiligheidsperimeter.”

- (Maze, persbericht juni 2020)

In een ander persbericht sprak Maze zijn ongeloof uit over de technische incompetentie van een slachtoffer:

“In die 2 dagen controleerde de bedrijfsbeveiliging niet eens de enorme activiteit binnen het bedrijfsnetwerk. Maar ondanks dat, zijn alle inbraken binnen de beveiligingsperimeter nog steeds open. Dat komt niet door COVID. Het is gewoon de luiheid en het ontbreken van de wil om iets te doen.”

- (Maze, persbericht april 2020)

In een ander voorbeeld vertelde Maze een verhaal over een aantal IT-specialisten en netwerkbeheerders die naar verluidt probeerden de omvang van een datalek te verbergen. Ze probeerden dit door te compromitterende informatie over hun leidinggevenden of gegevens van andere bedrijven aan Maze te verkopen.

“Een ander woord voor de IT-specialisten en netwerkbeheerders die de informatie over het datalek proberen te verbergen voor de leidinggevenden van het bedrijf. Ze maken alles alleen maar erger. We waren echt geschokt door het feit dat sommige netwerkbeheerders het lek probeerden te verbergen door ons toegang te bieden tot de gegevens van andere bedrijven, toegang tot de privélaptops van de directeur van het bedrijf of zelfs de naaktfoto's van de secretaresse van hun baas. Grappig maar waar.”

- (Maze, persbericht maart 2020)

In het laatste persbericht waarin ze de staking van hun activiteiten aankondigden, legde Maze expliciet het verband tussen hun vermeende activiteiten als burgerwacht en de nalatigheid van organisaties:

“WAAROM? Onze wereld zinkt weg in roekeloosheid en onverschilligheid, in luiheid en domheid. Als je de verantwoordelijkheid neemt voor andermans geld en persoonlijke gegevens, probeer het dan veilig te houden. Zolang je dat niet doet, zullen er meer projecten zijn zoals Maze om je eraan te herinneren dat je gegevens veilig moet opslaan.

- (Maze, persbericht november 2020)

In dit manifest gebruikte Maze termen als 'roekeloosheid', 'onverschilligheid', 'luiheid' en 'domheid' om hun slachtoffers te beschrijven en te karakteriseren. Hierdoor kon Maze zichzelf (en andere dreigende partijen) positioneren als 'morele wrekers' die gebrekkige praktijken van informatiebeveiliging aan de kaak stellen om het internet uiteindelijk veiliger te maken. Dit wordt versterkt door naar zichzelf te verwijzen als een 'project', aangezien projecten intrinsieke doelstellingen hebben.

Ragnar_Locker deed soortgelijke claims bij vijf afzonderlijke gelegenheden in onze dataset. Bijvoorbeeld:

“Weer een voorbeeld van de onverschilligheid van het bedrijf ten opzichte van de verantwoordelijkheid voor de bescherming en veiligheid van informatie. We hebben het bedrijf op de hoogte gesteld van het beveiligingslek en hen eerlijk de kans gegeven om de ’bugs’ te repareren en het lekken van gegevens te voorkomen, maar daar zijn ze niet in geïnteresseerd.”

– (Ragnar_Locker, Lek pagina 2)

“Helaas hecht zelfs een wereldwijd bekend bedrijf als [BEDRIJFSNAAM AFGESCHERMT] niet veel waarde aan privacy en veiligheid. Ze zijn talloze keren op de hoogte gesteld van kwetsbaarheden en datalekken.”

– (Ragnar_Locker, Lek Pagina 3)

In het onderstaande citaat beschuldigde Karakurt hun slachtoffers ook van nalatigheid:

“Beste bezoekers, klanten en journalisten

Ons derde deel over bedrijven die in verschillende sectoren werken en hun gegevens niet hebben beschermd – tot uw dienst.”

– (Karakurt, Lek pagina 3)

In het citaat reframed Karakurt hun slachtoffers als schuldigen voor ’[het niet] beschermen van hun gegevens’. De slachtoffers waren niet langer slachtoffers, maar in plaats daarvan schuldigen die verantwoordelijk waren voor hun eigen tegenslag. Dit omdat informatiebeveiliging van essentieel belang is.

In een ander bericht ging SunCrypt verder door de incompetentie van een slachtoffer uit de IT- en cyberbeveiligingsindustrie te veroordelen:

“Het bedrijf dat beweert IT-oplossingen en netwerk- en beveiligingsauditservices te bieden, biedt je in werkelijkheid het verlies van je gegevens en de verantwoordelijkheid voor GDPR-niet-naleving. Zolang ze niet in staat zijn om hun eigen netwerk te beschermen. . . . Je hebt ze vertrouwd en ze hebben je in de steek gelaten.”

- (SunCrypt, Aankondiging 1)

In de vernietigende beoordeling van SunCrypt werd het slachtoffer afgeschilderd als iemand die zich niet bekommert om privacy, informatiebeveiliging of GDPR-compliance. De houding van het slachtoffer werd als nalatig en roekeloos bestempeld. Hierdoor lijkt SunCrypt de schuld en verantwoordelijkheid af te schuiven op het slachtoffer.

Ook REvil gebruikte bijna identieke taal in hun kritiek op een ander slachtoffer uit de IT-industrie:

“Uw klanten hebben u het meest waardevolle toevertrouwd - hun back-ups en gegevens voor opslag, maar u hebt uw taak niet uitgevoerd. . . . We hebben geconcludeerd dat u niet waardig bent om IT- en printoplossingen te bieden (alles waarvoor u verantwoordelijk bent). Uw klanten zouden zich voor u moeten schamen. U verstoort zowel uw reputatie als die van mensen die u hun veiligheid hebben toevertrouwd.”

- (REvil, Lek Pagina 3)

De taalkeuze van REvil lijkt aan te geven dat het slachtofferde de pijn van de ransomware aanval en cyberafpersing dubbel en dwars verdiende, omdat het een IT-dienstverlener is.

We hebben ook bewijs gevonden in de dataset dat in tegenspraak lijkt met de bewering dat REvil de specifieke neutralisatietechniek ’ontkenning van het slachtoffer’ inzet:

“INTERVIEWER: Voel je je als Robin Hood?

Eerlijk? Nee. Ik ben tegen het romantiseren van mijn werk. Geld wordt gestolen of afgeperst met mijn handen. Maar ik schaam me niet voor wat ik doe. Ik probeer oprecht om hier op zijn minst iets slechts in te vinden en dat kan ik niet. Waarschijnlijk zijn mijn concepten van wat goed en wat slecht is op de een of andere manier verschoven. Maar in dit geval zijn ze voor velen in dit beroep verschoven.”

- (REvil, Interview 3)

In dit korte fragment zien we een expliciete verwerping van het 'Robin Hood'- of burgerwachtcomplex. Nu is het mogelijk dat de geïnterviewde persoon van REvil verschillend was dan de persoon die de tekst op ’Leak Page 3’ schreef. Waardoor het aannemelijk is om te suggereren dat op individueel niveau beide verslagen accuraat en geldig kunnen zijn.

Toch roept het interview een aantal belangrijke vragen op. Kunnen wij als waarnemers vertrouwen op de geldigheid van elk bewijs van neutralisatietechnieken? Of dient het burgerwachtcomplex een ander doel, misschien als façade?

Het korte antwoord is dat we de dataset op nominale waarde moeten analyseren en niet meer moeten concluderen, dan wat direct uit de tekst zelf kan worden afgeleid. Toch is ook een kritische interpretatie nodig van wat er 'achter' en 'binnen' de tekst gebeurt - een benadering die sociale wetenschappers 'hermeneutiek' noemen. Er moet altijd rekening worden gehouden met de context en subtekst van het citaat, voor zover dat mogelijk is.

Met dit in gedachten kunnen we vaststellen dat er een groot verschil is in wie 'spreekt' op de REvil-pagina en het REvil-interview. Op de website met de gelekte informatie spreekt ’de stem’ van de REvil-organisatie tegen een breder publiek. Terwijl tijdens het interview ’de stem’ van het individu (die voor REvil werkt) praat tegen een interviewer.

Als we kijken naar de benadering van dramaturgische analyse die is behandeld in het vorige artikel beschrijft Goffman (1959), dat mensen zich op verschillende manieren gedragen als ze verschillende rollen aannemen. De schijnbare tegenstrijdigheden van het gedrag van REvil worden begrijpelijker volgens deze theorie.

Dreigende partijen kunnen de behoefte voelen om zich bezig te houden met publiekelijk neutralisatietechnieken om pragmatische of strategische redenen. Het kan bijvoorbeeld in strijd zijn met hun 'zelfbeeld' of ’bedrijfsmodel‘ om expliciet te beweren dat geld de enige beweegreden is om slachtoffers af te persen. Ook is het mogelijk dat er een ’morele kloof’ is tussen de hogere kringen van REvil, die het publieke imago bepaalt, en degenen die lager in de organisatie werken.

Het is vooral belangrijk om in te zien dat de persoon van het REvil-interview een opmerkelijk zelfbewustzijn toont van de criminaliteit en de manier waarop dit persoonlijke ethische opvattingen heeft beïnvloed. Mogelijk kan de drang naar geld en financieel gewin als dominanter worden gezien, dan een morele code die niet langer wordt nageleefd.

Het tweede thema dat uit de dataset naar voren kwam, was dat dreigende partijen schuldvraagomkering gebruikten in tekst, als reactie op het gedrag van het slachtoffer na de ransomware infectie. Dreigende partijen beweerden met name dat het de eigen schuld van het slachtoffer was als er een datalek was opgetreden. Het slachtoffer had er namelijk voor gekozen om niet te onderhandelen over de betaling van het losgeld.

Karakurt legde bijvoorbeeld in een poging om zichzelf vrij te pleiten de verantwoordelijkheid voor een datalek bij de slachtoffers:

“We doen altijd ons best om de privacy van bedrijven vanaf het begin veilig te houden, alsof het datalek nooit heeft plaatsgevonden. Deze bedrijven hadden de keuze om alles geheim te houden of openbaar te maken. Onze slachtoffers hierboven hebben ervoor gekozen om gestraft te worden.”

- (Karakurt, Lek pagina 2)

De sleutelzin hierboven is: 'Onze slachtoffers hebben ervoor gekozen om gestraft te worden’. De bedoeling was om te suggereren dat de verantwoordelijkheid voor de datalek uitsluitend bij de slachtoffers lag, en hun beslissing om losgeld te betalen (of niet). Als de slachtoffers ervoor kiezen om niet te betalen, geeft dit de dreigende partij de mogelijkheid om te beweren dat hun handen gebonden waren en dat er geen andere mogelijkheid was dan de gegevens te lekken.

Op ‘Lek Pages 2 en 7’ beweerde Ragnar_Locker dat de data gelekt moest worden ’volgens hun regels’, omdat het slachtoffer weigerde losgeld te betalen. 'De regels' bepaalden de vereiste handelswijze, ook al schreef de dreigende partij deze zelf. De regels, als een abstracte constructie, creëert enige afstand tussen de dreigende partij en de verantwoordelijkheid voor hun acties.

In een andere onderhandeling chat probeerde DarkSide ook de dreiging van een datalek als wapen te gebruiken om het slachtoffer te intimideren, zodat losgeld betaald zou worden:

“Ondersteuning: Onze andere klanten kunnen in deze tijd betalen, als je wilt - je kunt niet betalen, we hebben publicaties nodig voor de blog.

Ondersteuning: Uw datalek zal een goede reden zijn voor andere bedrijven om ons te betalen.”

- (DarkSide, Onderhandeling chat 1)

Conti hanteerde een vergelijkbare aanpak in een onderhandeling, waarbij er werd uitgehaald naar het slachtoffer, nadat er geen 'redelijk' voorstel deed voor de betaling van het losgeld:

“Nee, we zijn niet tevreden, dit zijn belachelijke cijfers. Over 3 dagen zullen we je gegevens op onze website publiceren en naar geïnteresseerde partijen sturen, ook zal deze chat worden verwijderd, in de toekomst zul je geen transcriptie meer kunnen krijgen. . . . We doen altijd concessies. Het leek ons dat je besloot met ons te spelen door zulke bedragen te noemen. Nog een prettige dag en veel succes.”

- (Conti, Onderhandeling chat 24)

Met dergelijk taalgebruik probeerde de dreigende partij de verantwoordelijkheid en de schuld af te schuiven op het slachtoffer. Het doel lijkt om de claim van het slachtoffer op de status als slachtoffer te verkleinen. Het is ook een manier voor bedreigers om hun macht over het slachtoffer te laten gelden.

Door 'regels' op te stellen waaraan slachtoffers zich moeten houden, benadrukken dreigende partijen impliciet dat zij te allen tijde controle hebben over de situatie. Dit laat het slachtoffer weinig keus: meegaan in wat de dreigende partij wil of de gevolgen onder ogen komen (bijvoorbeeld een openbare datalek).

De bovenstaande voorbeelden zijn niet zo openlijk of direct als de rechtvaardigingen die we eerder in het artikel lazen, waarbij de dreigende partij de rol van burgerwacht op zich nam om corrupt, roekeloos of nalatig gedrag van slachtoffers te bestraffen. Het beoogde effect is echter hetzelfde: het neutraliseren van het bestaan van een onschuldig slachtoffer, zodat de dreigende partij zich niet meer hoeft te houden aan de ’morele regels van de samenleving’ (Brewer et al., 2020: 549).

In overeenstemming met de neutralisatietheorie van Sykes en Matza wordt in het bovenstaande benadrukt hoe mensen die zich bezighouden met cyberafpersing proberen het bestaan van een slachtoffer te verminderen of te ontkennen.

We observeerden dit gedrag op twee manieren. Ten eerste proberen de dreigende partijen hun slachtoffers af te schilderen als een slachtoffer dat de straf verdient, vanwege vermeende corruptie of nalatigheid. Zo kunnen dreigende partijen zichzelf positioneren als een burgerwacht, die afpersing bestempellen als rechtvaardige gerechtigheid.

De tweede benadering is botter, waarbij dreigende partijen de schuld voor het lekken van de data toeschrijven aan de keuze van het slachtoffer om geen losgeld te betalen. Zo lijken sommige dreigende partijen zichzelf vrij te pleiten van de verantwoordelijkheid voor de gevolgen van de datalek.

Er zijn ook een aantal overeenkomsten gevonden tussen deze twee benaderingen. Soms proberen dreigende partijen de slachtoffers die niet onderhandellen of geen losgeld betalen te typeren als hebzuchtig, roekeloos of nalatig. Als we ons nog een keer tot Goffman (1959) wenden, blijkt dat van slachtoffers wordt verwacht dat ze binnen de rol blijven die de dreigende partij voor hen heeft vastgesteld. Hoewel de prijs van het losgeld misschien onderhandelbaar is, zijn de 'regels van betrokkenheid' dat niet.

Bovendien is er verder onderzoek nodig om na te gaan hoe dreigende partijen de tijdelijkheid van het slachtoffer invullen. Dat wil zeggen, op welk moment wordt een slachtoffer een slachtoffer? Een deel van de zogenaamde 'schuldvraagomkering’ taal impliceert dat 'het slachtoffer pas slachtoffer wordt' als de data openbaar gelekt wordt, maar niet op het moment van versleuteling of diefstal van gegevens.

Door tijdelijk een aanval te herframen, lijken dreigende partijen te suggereren dat de acties die plaatsvinden voorafgaand aan de publieke datalek gezien kunnen worden als een ’niet-aanval’. Opnieuw zien we enige overlap met de ontkenning van schade techniek uit het voorgaande artikel. Een ontkenning probeert te herdefiniëren wat slachtofferschap is (en wat niet).

In het volgende artikel wordt de neutralisatietechniek die bekend staat als 'het veroordelen van de veroordelaars' besproken. Er zijn een aantal overeenkomsten geconstateerd met de tactiek van het beschuldigen van slachtoffers. Door de aandacht en verantwoordelijkheid af te leiden naar derden, zijn er aanwijzingen dat dreigende partijen proberen de aandacht af te leiden van de eigen verantwoordelijkheid voor hun daden.