11 mei 2021
Auteurs: Ivanche Dimitrievski, Adam Ridley, and Diana Selck-Paulsson
Dit is het zesde artikel in een serie waarin wordt onderzocht hoe cyberafpersing en ransomware dreigers "neutralisatietechnieken" gebruiken om hun kwaadaardige gedrag te legitimeren.
Sykes en Matza (1957) stellen dat mensen die zich bezighouden met criminele activiteiten gebruikmaken van retorische technieken om de schuld, die gepaard gaat met het plegen van een misdrijf, te neutraliseren. Op die manier kunnen ze een misdaad begaan terwijl ze zichzelf vertellen dat ze dit om gerechtvaardigde redenen doen en hun afwijkende acties rechtvaardigen.
We behandelden deze benadering conceptueel in het eerste deel van deze serie, waar we ook ons onderzoeksmateriaal uitlichten. Deel twee ging vervolgens in op de neutralisatietechniek die "ontkenning van schade" wordt genoemd, en liet zien hoe dreigende partijen hun kwaadaardige gedrag proberen te herpositioneren als een zakelijke dienst.
In deel drie onderzochten we "ontkenningen van het slachtoffer" waarbij, in dit geval, het slachtoffer werd afgeschilderd als crimineel terwijl de dreigende partij werd voorgesteld als een burgerwachtfiguur. Dit werd in deel vier op gevolgd door een onderzoek naar de pogingen van dreigende partijen om hun gedrag te rechtvaardigen door degenen die zich ertegen verzetten te veroordelen.
In deel vijf werd gekeken naar de "oproepen tot hogere loyaliteit" van. Met deze neutralisatietechniek proberen dreigende partij het beeld te schetsen dat ze sociale normen opofferen ten gunste van een hogere waarde, zoals loyaliteit aan familie of 'het grotere goed'. We bespraken dit als een brandingstrategie voor organisaties, maar ook als een motiverende kracht achter criminele activiteiten.
In het laatste stuk van de serie richten we ons op de neutralisatietechniek die "ontkenning van verantwoordelijkheid" wordt genoemd. Volgens Sykes en Matza ontkennen daders verantwoordelijkheid door te beweren dat hun gedrag onbedoeld is of het resultaat van krachten die buiten hun macht liggen. Ze presenteren zichzelf dus als slachtoffers van omstandigheden en als producten van hun omgeving.
In eerdere delen van deze serie hebben we opgemerkt dat de benadering van Sykes en Matza zich niet bezighoudt met de geldigheid van dergelijke verklaringen, maar eerder met hun functie om "de schuld af te wenden die verbonden is aan schendingen van sociale normen" (1957: 667). Door te leren zichzelf te zien als iemand tegen wie wordt opgetreden in plaats van als iemand die handelt, wijken de overtreders af van het dominante normatieve systeem zonder de normen aan te tasten"
In wat volgt, bekijken we divers materiaal, waaronder onderhandelingsgesprekken, gepubliceerde interviews met dreigende partijen en uitgelekte pagina's, om enkele discursieve strategieën bloot te leggen die dreigende partijen gebruiken om verantwoordelijkheid toe te wijzen en te verdelen. Op basis hiervan beraden we ons over de mogelijke effecten van dit proces. We onderzoeken de pogingen van dreigende partij om zichzelf te zien als "gereguleerde" en "betrouwbare" entiteiten, om de verantwoordelijkheid voor een misdrijf te verdoezelen door "het slachtoffer de schuld te geven", en om angst aan te wakkeren door factoren aan te wijzen waar ze geen invloed op hebben en geen verantwoordelijkheid over voelen.
Houd er bovendien rekening mee dat de onderstaande citaten van dreigende partijen niet zijn bewerkt voor grammatica of zinsbouw.
Vertrouwen speelt een belangrijke rol bij cyberaanvallen. Gegevens worden vergrendeld, waarna losgeld wordt geëist in ruil voor het ontgrendelen van die gegevens. Maar het slachtoffer heeft een vorm van zekerheid nodig dat de gegevens na betaling van het losgeld inderdaad worden ontgrendeld. En aangezien dit proces normaal gesproken niet is gereguleerd, omdat er geen officiële instanties zijn die ervoor zorgen dat de gegevens worden teruggehaald, is het vertrouwen van het slachtoffer in de dreigende partij van het grootste belang.
Als de dreigende partij het vertrouwen van het slachtoffer verliest, wordt hij mogelijk niet betaald, wat juist het doel van de aanval was.
Een manier waarop dreigende partijen vertrouwen wekken is door een publiek imago van zichzelf te creëren als maatschappelijk verantwoordelijke entiteit. In het volgende fragment verklaart Cl0p zich te houden aan het principe om een aantal soorten organisaties niet aan te vallen en in het geval van een aanval recht te doen aan deze organisaties.
We hebben nooit ziekenhuizen, weeshuizen, verpleeghuizen, liefdadigheidsinstellingen aangevallen en dat zullen we ook niet doen. Commerciële farmaceutische organisaties komen niet in aanmerking voor deze lijst; zij zijn de enigen die profiteren van de huidige pandemie. Als er per ongeluk een aanval plaatsvindt op één van de bovenstaande organisaties, zullen we de decryptor gratis ter beschikking stellen, onze excuses aanbieden en helpen de kwetsbaarheden te verhelpen.
(Aankondiging_Cl0p_1a_txt, Pos. 4)
Het fragment projecteert een beeld van de dreigende partij als een morele agent die een bepaald ethisch principe volgt als basis voor hun aanvallen. Een soortgelijk effect zien we in het volgende fragment uit een interview met ALPHV. In antwoord op een vraag van een journalist over de manier waarop zij hun partners controleren, zegt de vertegenwoordiger van ALPHV:
(...) we voeren geen actieve advertentiecampagne en verbreken gemakkelijk de banden met partners die zich niet aan de regels houden, maar hoe hard we ook proberen om mensen te filteren bij het aanmaken van een account - shit happens. Er was al een incident met, ik citeer, "niet de buurlanden". Ontcijferingssleutels werden automatisch uitgegeven en de partner werd verbannen.
(Interview_ALPHV_1a txt)
Lösch, Heil en Schneider (2017) beschrijven "responsibilisering" als een visievormingsproces waarbij verantwoordelijkheden worden toegewezen aan de dreigende partijen die gezamenlijk vormgeven aan sociotechnische afspraken. De bovenstaande verklaring kan worden gezien als een voorbeeld van een dergelijk proces, dat een beeld van de dreigende partij - ALPHV - produceert als een verantwoordelijke entiteit die anderen in zijn netwerk in toom houdt. Ons wordt wijsgemaakt dat deze "partners" worden gehouden aan een morele norm en dat elke schending van die norm wordt bestraft met passende sancties.
In deze fragmenten worden interne inbreuken op dit aanvalsbeleid beschreven als "ongelukken" en "fouten". Cl0p en ALPHV worden beschouwd als verantwoordelijken voor deze ongelukken/fouten. Ze verbreken niet alleen de banden met de schuldige partner, maar geven ook ontcijferingssleutels uit, verontschuldigen zich bij het slachtoffer en helpen hen de zwakke plekken in hun beveiligingssystemen te repareren om mogelijke toekomstige aanvallen te voorkomen.
Het is echter belangrijk om te benadrukken dat het nemen van verantwoordelijkheid voor zulke "toevallige" aanvallen niet automatisch betekent dat je verantwoordelijkheid accepteert.
De verantwoordelijkheid wordt eerder verdeeld door de dreigende partij voor te stellen als een samenstelling van subactoren en de oorzaak van deze aanvallen te zoeken bij een "gebrekkig" onderdeel van dat zogenaamd verenigde geheel. Op deze manier wordt een deel, in plaats van het geheel, verantwoordelijk gesteld voor de aanvallen en het verwijderen van het "gebrekkige" deel kan dus worden opgevat als een handeling waarbij de dreigende partij opnieuw wordt voorgeschreven als een betrouwbare entiteit.
Een cyberaanval kan op meerdere manieren worden geïnterpreteerd, afhankelijk van het perspectief van de betrokken persoon of groep. Overweeg het volgende fragment uit een Babuk losgeldbrief:
Als u dit briefje ziet, is uw bedrijf willekeurig gekozen voor een beveiligingsaudit en is uw bedrijf daar niet doorheen gekomen.
(Losgeldbrief_Babuk_4a txt)
De verklaring instrueert ons om de aanval te lezen als een gevolg van een ontoereikend vermogen van het slachtofferbedrijf om zichzelf te beschermen.
Dit is zeker niet de enige manier om te lezen wat er is gebeurd, en verklaringen zoals hierboven bagatelliseren de complexiteit van cyberaanvallen. Bij cyberaanvallen worden normaal gesproken bijvoorbeeld zeer geavanceerde social engineering-technieken gebruikt. Dit kan inhouden dat er zwakke plekken in het cyberbeveiligingssysteem van het slachtoffer worden geïdentificeerd en dat er een situatie wordt gecreëerd (zoals een phishing-e-mail) die een beroep doet op die zwakke plekken, waardoor de kans op een inbreuk toeneemt.
Uitspraken als de bovenstaande sluiten dus aan bij een bredere discussie rond slachtofferschap van online fraude, dat zoals Cross (2015) constateert, grotendeels is gebaseerd op noties van schuld en verantwoordelijkheid die op de slachtoffers zelf worden afgewenteld omdat ze er niet in slagen slachtofferschap te voorkomen.
In hun openbare toespraken doen dreigende partijen vaak een beroep op de verantwoordelijkheid van daadwerkelijke en potentiële slachtoffers om ervoor te zorgen dat de gegevens van mensen veilig zijn:
Ons derde deel over verschillende bedrijven in verschillende sectoren die er niet in zijn geslaagd hun gegevens te beschermen (...).
(Lekpagina_Karakurt_3a-b img)
Als gevolg van de slechte beveiliging van uw netwerken, hebben we uw kritieke informatie gedownload met een totaal volume van meer dan 50 GB.
(Onderhandelingschat_Conti_11a-b txt)
BEDRIJFSNAAM [REDACTED VICTIM COMPANY NAME] kan niet trots zijn op het gebruik van de nieuwste technologieën en het bieden van veiligheid en vertrouwelijkheid van documenten. Het bedrijf heeft gefaald in het beveiligen van hun gegevens, inclusief documenten met betrekking tot klanten en partners.
(Lek pagina_Marketo_1a img)
Opnieuw worden deze aanvallen niet voorgesteld als voorbeelden van "succesvolle veroveringen" waarbij andermans gegevens worden gehackt, gestolen en gelekt, maar als het falen van de slachtoffers om hun gegevens te beschermen. Zoals ook is onderzocht in eerdere artikelen in deze serie, wordt dit "falen om te beschermen" vaak uitgewerkt als het onthullen van interne prioriteitsstelling bij de organisatie van het slachtoffer:
Helaas zijn er nog steeds veel bedrijven die geen verantwoordelijkheid willen nemen voor de verzamelde persoonlijke informatie en de beveiligingsmaatregelen niet willen verbeteren.
(Lekpagina_Ragnar Locker_2a txt)
Ga maar verder mensen, hier valt niet veel te zien. Gewoon weer een advocatenkantoor dat grote bedragen incasseert maar vergeet om persoonlijke informatie van cliënten te beschermen.
(Lek pagina_Cl0p_1a txt)
Wij vinden dat iedereen moet weten dat dit bedrijf niet werkt aan zijn beveiligingsmaatregelen en een onveilige partner is. Alle werknemers en klanten moeten ook weten dat ze beter geen persoonlijke informatie aan het bedrijf kunnen toevertrouwen.
(Uitgelekte pagina_Conti_1a txt)
Deze uitspraken kunnen worden geïnterpreteerd als handelingen waarbij het slachtoffer verantwoordelijk wordt gesteld voor de aanval. Dit verantwoordelijkheidsgevoel kan worden opgevat als een daad van zelfverlossing, maar op een meer directe manier worden slachtoffers gedwongen om zich aan de regels te houden. Door een beroep te doen op hun gevoel van verplichting om het goed te maken en de gestolen gegevens terug te krijgen, betalen bedrijven het losgeld.
De sociale aspecten die hierboven aan bod zijn gekomen, zijn dus niet simpelweg kenmerken van een aanval die plaatsvindt. Het zijn eerder sleutelelementen in de bredere sociotechnische processen die cyberaanvallen vormen. Dit kan ook worden gezien in het volgende fragment uit een onderhandelingsgesprek tussen de ransomware-groep Babuk en een slachtofferorganisatie:
Slachtofferorganisatie: Vertel me eens hoe je aan 4 miljoen bent gekomen? Het lijkt extreem hoog voor een overheidsinstantie.
Babuk: U wordt gefinancierd door de staat, de staat moet betalen, en niet uw werknemers, u bent geen privébedrijf, maar verzeker ons alstublieft niet dat u arm bent, u bent niet een of ander politiebureau uit het dorp, u bent politie-eenheid van het Capitool.
(Onderhandelingschat_Babuk_1c img)
Babuks aandringen dat het slachtoffer het losgeld kan betalen impliceert een organisatie van verantwoordelijkheid, waarbij "de staat" verantwoordelijk wordt gesteld voor de entiteit die er deel van uitmaakt. Bovendien is dit niet zomaar een entiteit - "niet een of ander politiebureau uit het dorp" - maar "Politie-eenheid van het Capitool", wat suggereert dat er middelen beschikbaar zijn om het losgeld te betalen. De herdefiniëring van het slachtoffer in haar relatie tot de staat wordt gedaan om het zelfbeeld van het slachtoffer tegen te gaan als gewoon "een entiteit uit de publieke sector" die geen losgeld kan betalen dat zo "extreem hoog" is als het losgeld dat wordt geëist.
Onze analyse suggereert dat ransomware-aanvallen zich ontvouwen door de discursieve opstelling van de dreigende partijen die betrokken zijn bij de aanvallen. Dit omvat het specificeren van de identiteiten van de dreigende partijen als onderdeel van deze aanvallen, evenals de onderlinge verantwoordelijkheidsrelaties.
In een eerder artikel in deze serie hebben we, in navolging van Van Lente en Rip (1998), voorgesteld dat de verklaringen van dreigende partij kunnen worden opgevat als "sterke ficties". Hoewel ze niet kunnen worden opgevat als objectieve weergaven van cyberbeveiligingsscenario's, kan wel worden gezegd dat ze effect hebben op de wereld.
De kracht van deze uitspraken berust voor een belangrijk deel op het feit dat ze als "bedreigingen" worden gelezen. Volgens Cavelty (2013) is een belangrijk kenmerk van de cyberbeveiligingsdiscussie de constructie van dreiging door het oproepen van een duistere, onzichtbare, maar machtige vijand. Uit ons onderzoek blijkt dat deze eenheid vaak wordt gebruikt door tegenstanders tijdens cyberaanvallen. Kijk eens naar dit fragment:
Slachtofferorganisatie: Ik ben niet bang voor uw dreigementen!
Egregor: Dat is niet de dreiging, maar het algoritme van onze acties.
(Losgeldbrief_Egregor_1a txt)
Egregor's antwoord beschrijft de aard van hun acties als algoritmisch. Dit projecteert een beeld van Egregor als een sterke onzichtbare kracht die handelt volgens zijn eigen logica, onaangetast door acties die het slachtoffer zou kunnen ondernemen om het te stoppen.
Met andere woorden, de dreiging bestaat in dit geval uit Egregor die wordt voorgesteld als een soort entiteit zonder reactievermogen, wat een andere manier is om over "verantwoordelijkheid" na te denken - namelijk het vermogen om te reageren op eisen van de situatie of van anderen.
Dus ondanks het feit dat Egregor deze typering expliciet ontkent wordt zijn reactie, op de poging van het slachtoffer om hem te confronteren, gebruikt om het gevoel van bedreiging te accentueren.
Het volgende fragment komt uit een onderhandelingsgesprek waarbij de dreigende partij Babuk betrokken is:
We wachten nog steeds op uw prijs. We begrijpen allemaal dat als deze informatie wordt geüpload naar openbare bronnen, u veel meer zult verliezen.
(Onderhandelingschat_Babuk_2a-j txt)
Het fragment zinspeelt op de gevaren van het openbaar maken van iemands gegevens. Tegelijkertijd positioneert het fragment Babuk - de dreigende partij die op dit moment controle heeft over de gegevens – als buitenstaander van de groep personen die van het “publiek” een onveilige ruimte maken.
Dit laatste is een gebruikelijke zet onder dreigende partijen:
Wie weet hoe derden die documenten kunnen gebruiken, daar zijn wij niet verantwoordelijk voor.
(Losgeldbrief_Babuk_2a txt)
Bedrijven die worden aangevallen door Ragnar_Locker kunnen het beschouwen als een beloning voor het vinden van bugs, we illustreren alleen wat er kan gebeuren. Maar vergeet niet dat er veel mensen op het internet zijn die geen geld willen - iemand wil misschien alleen ruïneren en kapotmaken.
(Over ons_Ragnar Locker_1a txt)
Op dit moment worden al je bestanden openbaar gemaakt op onze blog en zijn ze beschikbaar voor iedereen, inclusief darknet criminelen die graag je informatie misbruiken voor hun eigen kwade doeleinden zoals social engineering aanvallen tegen je klanten en leveranciers, spamming en andere slechte acties.
(Onderhandelingschat_Conti_17a-k txt)
In de bovenstaande segmenten ontkennen dreigende partijen de verantwoordelijkheid voor de gegevens zodra ze niet meer in hun bezit zijn. Net als in het geval van Babuk hierboven, zinspelen deze ontkenningen van verantwoordelijkheid steevast op het bestaan van een derde partij - beschikbaar gesteld in algemene termen als "mensen op het internet" of "iedereen, inclusief darknet criminelen" - bij wie het "echte gevaar" ligt.
Cruciaal is dat het beeld van een onstoffelijke, anonieme, oncontroleerbare derde partij wordt afgezet tegen dat van de dreiger, die verantwoordelijk en de baas lijkt te zijn. Door de verantwoordelijkheid op deze manier af te bakenen, wordt het bestaan van een dreigend gevaar opgezet en worden de bedreiger en het slachtoffer gepositioneerd als samenwerkers die, door samen te werken, die dreiging kunnen vermijden.
We kunnen dus zien dat de dreigingstrofee in deze fragmenten wordt gebruikt in combinatie met uitspraken over verantwoordelijkheid om vorm te geven aan het ontvouwen van het sociotechnische proces dat de cyberaanval vormt.
In dit artikel hebben we gekeken naar verschillende teksten van dreigende partijen en hoe deze teksten verantwoordelijkheidsrelaties tot stand brengen als onderdelen van cyberaanvallen. We hebben specifiek onderzocht hoe deze dreigende partijen de verantwoordelijkheid voor deze aanvallen ontkennen. Onze analyse laat zien dat dit voor het grootste deel geen expliciete "ontkenningen" van verantwoordelijkheid zijn en, wat nog belangrijker is, dat het einde van dergelijke acties niet noodzakelijkerwijs vrijspraak of zelfrechtvaardiging is. Het gaat eerder om verschuivingen, verdelingen, veronderstellingen en toewijzingen van verantwoordelijkheid, met verschillende retorische gevolgen.
Soms gebruiken dreigende partijen verantwoordelijkheid om schade te benadrukken en soms om vertrouwen te wekken, op een manier die bepaalde acties stimuleert, die meestal gunstig zijn voor de dreiger, zoals luisteren naar het slachtoffer om sympathie te wekken.
In bredere zin kunnen we de in dit stuk geanalyseerde uitspraken zien als "scripts" (Van Lente & Rip 1998) die de verschillende dreigende partijen positioneren als personages in een verhaal dat moet worden uitgespeeld. Als zodanig zijn deze verklaringen potentieel krachtige hulpmiddelen voor hoe je om moet gaan met cyberaanvallen. Inzicht in de sociale dynamiek rond deze scripts is cruciaal als we willen bepalen waarom sommige scripts in bepaalde gevallen niet werken en andere scripts wel.
Cavelty, M.D. (2013) From Cyber-Bombs to Political Fallout: Threat Representations with an Impact in the Cyber-Security Discourse. International Studies Review, Vol. 15, pp. 105-122.
Cross, C. (2015). No laughing matter: Blaming the victim of online fraud. International Review of Victimology, Vol 21, No 1, pp 187-204.
Lösch, A., Heil, R. & Schneider, C. (2017). Responsibilization through visions. Journal of Responsible Innovation, Vol 4, No 2, pp 138-156.
Sykes, G M and D Matza (1957), ‘Techniques of neutralization: A theory of delinquency’, American Sociological Review, vol 22, no 6, pp 664-670.
Van Lente, H and A Rip (1998), ‘Expectations in technological developments: An example of prospective structures to be filled in by agency’, in C Disco and B J R van der Meulen (eds), Getting New Technologies Together, Walter de Gruyter, Berlin, New York, pp 195-220.