Avslöjande av neutraliseringstekniker inom cyberutpressning: Från skadlig verksamhet till ädla medborgargarden och victim-blaming - Del 3.

Det andra sättet som vi observerade att hotbildsaktörer positionerade sig som medborgargarden var när de hävdade att offren var försumliga eller vårdslösa när det gällde informationssäkerhet. Forskare har tidigare kopplat detta argument till förnekandet av offrets teknik, vilket Chua och Holt (2016: 539) förklarar:

Slutanvändarnas oförmåga att skydda sina system från intrång eller att förstå hur de fungerar används av vissa för att rättfärdiga intrång i system och skadliga hackningar.

(Chua och Holt, 2016: 539)

Det efterföljande självbevakningsbeteendet (dvs. cyberutpressningsattacker) är sedan tänkt att tvinga företagen att ändra sina rutiner. Maze uppvisade denna typ av neutralisering mycket ofta, även om vi också kommer att undersöka exempel från Ragnar_Locker, Karakurt och SunCrypt.

I sina offentliga tillkännagivanden hävdade Maze ofta att offrens organisationer inte förstod vikten av att skydda känsliga uppgifter. Maze använde denna bristande medvetenhet för att rättfärdiga cyberutpressningsattacken i syfte att förbättra offrens cybersäkerhetsrutiner.

Men ibland kan företagen inte förstå risken för informationsläckor, särskilt när det gäller privat information. Vi har specialiserat oss på kundens privata information, finansiell information, databaser, kreditkortsdata, NDA-dokument och alla företagets undersökningar... . Vi kan helt enkelt inte förstå vad [REDACTED COMPANY NAME] pratar om när det gäller cybersäkerhet, eftersom de har ett säkerhetshål av Australiensisk storlek i sin säkerhetsomkrets.

_{(Maze, pressmeddelande juni 2020)}

I ett annat pressmeddelande uttryckte Maze sin misstro över ett offrets tekniska inkompetens:

Under dessa två dagar kontrollerade företagets säkerhetspersonal inte ens den enorma aktiviteten i företagets nätverk. Men trots detta är alla överträdelser inom säkerhetsområdet fortfarande öppna. Det beror inte på COVID. Det är bara lathet och avsaknad av vilja att göra något.

(Maze, pressmeddelande april 2020)

I ett annat exempel berättade Maze en historia om några IT-specialister och nätverksadministratörer som påstods ha försökt dölja omfattningen av en dataläcka. De gjorde detta genom att försöka sälja komprometterande information om sina chefer eller uppgifter från andra företag till Maze.

Ett annat ord för IT-specialister och nätverksadministratörer som försöker dölja informationen om dataläckan för företagets ledning. De gör allting bara värre. Vi blev verkligen chockade av att vissa nätverksadministratörer försökte dölja läckan genom att erbjuda oss tillgång till uppgifter från andra företag, tillgång till företagets vd:s privata bärbara datorer eller till och med nakenbilder från deras chefs sekreterare. Lustigt men sant.

(Maze, pressmeddelande mars 2020)

I sitt sista pressmeddelande där de meddelade att de lade ner sin verksamhet drog Maze uttryckligen en koppling mellan sitt förmodade medborgargardebeteende och organisationers försumlighet:

VARFÖR? Vår värld sjunker i hänsynslöshet och likgiltighet, i lathet och dumhet. Om du tar ansvar för andra människors pengar och personuppgifter, försök då att hålla dem säkra. Tills ni gör det kommer det att finnas fler projekt som Maze för att påminna er om säker datalagring. (Betoning i originalet.)

(Maze, pressmeddelande november 2020)

I manifestet använde Maze termer som "vårdslöshet", "likgiltighet", "lathet" och "dumhet" för att beskriva och karaktärisera sina offer. På så sätt kunde Maze positionera sig själv (och andra hotbildare) som "moraliska hämnare" som avslöjar dåliga metoder för informationssäkerhet för att i slutändan göra internet säkrare. Detta förstärks genom att de väljer att kalla sig själva för ett "projekt", eftersom projekt i sig själva har mål.

Ragnar_Locker gjorde liknande påståenden vid fem olika tillfällen i vårt dataset. Till exempel:

Ännu ett exempel på företagets likgiltighet inför ansvaret för skydd och säkerhet av information. Vi informerade företaget om säkerhetsöverträdelsen och gav dem ärligt talat chansen att åtgärda "buggarna" och undvika dataläckage, men de är inte intresserade av det.

_{(Ragnar_Locker,  Leak Page 2)}

Tyvärr värdesätter inte ens ett världskänt företag som [REDACTED COMPANY NAME] mycket integritet och säkerhet. De har meddelats om sårbarhet och dataläckor flera gånger.

_{(Ragnar_Locker, Leak Page 3)}

I citatet nedan anklagar Karakurt också sina offer för vårdslöshet:

Kära besökare, kunder och journalister

Vår tredje volym om företag som arbetar inom olika branscher och som inte lyckats skydda sina uppgifter - till din tjänst. 

(Karakurt, Leak Page 3)

I detta citat omformulerade Karakurt sina offer till att vara skyldiga till att de "[misslyckades] med att skydda sina uppgifter". Offren var inte längre offer, utan istället skyldiga parter som var ansvariga för sin egen olycka eftersom informationssäkerhet är något som är så kritiskt och viktigt.

SunCrypt gick dock längre i ett inlägg genom att fördöma inkompetensen hos ett offer från IT- och cybersäkerhetsbranschen:

Företaget som påstår sig erbjuda IT-lösningar och nätverks- och säkerhetsrevisionstjänster erbjuder dig i själva verket förlust av dina data och ansvar för bristande efterlevnad av GDPR. Så länge de är oförmögna att skydda sitt eget nätverk. . . . Du har litat på dem och de har svikit dig.

(SunCrypt, tillkännagivande 1)

I SunCrypt:s svidande bedömning beskrevs offret som ointresserat av integritet, informationssäkerhet och GDPR-efterlevnad, och offrets attityd beskrevs som vårdslös och hänsynslös. SunCrypt tycks på detta sätt lägga över skulden och ansvaret på offret.

På samma sätt använde REVIL ett nästan identiskt språkbruk i sin kritik av ett annat offer från IT-industrin:

Dina kunder har anförtrott dig det mest värdefulla - deras säkerhetskopior och data för lagring, men du har inte klarat av din uppgift. . . . Vi drog slutsatsen att ni inte är värda att tillhandahålla IT- och utskriftslösningar (allt som ni ansvarar för). Era kunder borde skämmas över er. Ni förstör både ert rykte och ryktet hos de människor som har anförtrott er sin säkerhet.

_{(REvil, Leak Page 3)}

REvils språkval verkade här tyda på att eftersom offret var en IT-tjänsteleverantör var de dubbelt förtjänta av den smärta som orsakades av utpressningen av ransomware och cyberattacken.

Vi har dock också funnit bevis i datasetet som tycks gå emot påståendet att REvil använder denna särskilda neutraliseringsteknik för att förneka offret:

INTERVIEWER: Känner du dig som Robin Hood?

REvil: Ärligt talat? Nej, jag är emot att romantisera mitt arbete. Pengar stjäls eller utpressas med mina händer. Men jag skäms inte för det jag gör. Jag försöker uppriktigt försöka hitta åtminstone något dåligt i detta och kan inte göra det. Förmodligen har mina föreställningar om vad som är bra och vad som är dåligt på något sätt förskjutits. Men i det här fallet är de förskjutna för många i det här yrket.

(REvil, intervju 3)

I detta korta utdrag kan vi se ett uttryckligt avståndstagande från Robin Hood- eller medborgargardekomplexet. Det är möjligt att den person från REvil som intervjuas här är en annan än den person som skrev texten i Leak Page 3. Därför är det rimligt att föreslå att båda berättelserna på individnivå kan vara korrekta och giltiga samtidigt.

Intervjuutdraget väcker dock några viktiga frågor. Kan vi som observatörer lita på giltigheten av alla bevis på neutralisering som vi hittar? Eller tjänar detta medborgargardekomplex något annat syfte, kanske som en fasad?

Det korta svaret är att vi måste analysera datasetet till sitt nominella värde och inte dra slutsatser mer än vad som kan stödjas direkt av själva texten. Men detta måste också balanseras med en kritisk tolkning av vad som händer "bakom" och "inom" texten - ett tillvägagångssätt som samhällsvetare kallar "hermeneutik". Citatets sammanhang och undertext måste alltid beaktas, i den mån det är möjligt.

Med detta i åtanke kan vi se att rösten på vem som "talar" är en viktig skillnad mellan REvil läckagesidan och REvil intervjun. På läckagesidan är det organisationen Revil som talar till en mycket bredare publik. I intervjun är rösten den person som arbetar för REvil, men som talar för sig själv som individ till en intervjuare.

Om vi tar hänsyn till den strategi för dramaturgisk analys som vi nämnde i vårt tidigare inlägg (Goffman, 1959) beter sig människor på olika sätt när de antar olika roller. De skenbara motsättningarna kan då bli mer begripliga när Rebils till synes divergerande beteenden konceptualiseras enligt dessa riktlinjer.

Hotaktörer kan därför känna ett behov av att engagera sig i neutraliseringstekniker med offentlig framtoning av pragmatiska eller strategiska skäl. Det kan till exempel strida mot deras organisatoriska "självbild" eller affärsmodell att uttryckligen ange att de enbart existerar för att pressa ut pengar från offren. Eller så finns det kanske en moralisk "brytning" mellan REVILs övre hierarki, som kontrollerar den offentliga bilden, och de som arbetar på lägre nivåer inom organisationen.

Det är dock särskilt viktigt att se intervjupersonen från REvil visa en anmärkningsvärd självmedvetenhet om sin egen kriminalitet och det sätt på vilket detta har påverkat deras egen personliga förståelse av moral. Kanske kan då lockelsen av pengar och ekonomisk vinning ses som mer dominerande än en moralisk kod som inte längre upprätthålls.

Det andra temat som framkom i datamaterialet var att hotbildare använde ett språk som skyllde på offret som svar på offrets beteende efter det att infektionen med utpressningstrojaner inträffat. Hotaktörerna hävdade ofta att det var offrets eget fel om en dataläcka hade inträffat eftersom offret hade valt att inte förhandla om lösenbetalningen.

Karakurt flyttade till exempel över ansvaret för en dataläckage på offren i ett försök att frikänna sig själva:

Vi försöker alltid göra vårt bästa för att skydda företagets integritet från början, som om dataintrånget aldrig hade inträffat. Dessa företag hade ett val mellan att hålla allt hemligt eller att avslöja det offentligt. Våra offer ovan har valt att bli straffade.

(Karakurt, Leak Page 2)

Nyckelordet här är "Våra offer ovan har valt att bli straffade". Syftet var att antyda att ansvaret för dataläckan enbart låg hos offren och deras beslut att betala lösensumman (eller inte). Om offren väljer att inte betala ger detta hotet aktören möjlighet att hävda att de var bundna och att det inte fanns något annat alternativ än att offentligt läcka uppgifterna.

På Leak Pages 2 och 7 formaliserade Ragnar_Locker faktiskt detta retoriska knep genom att hävda att "enligt våra regler" var uppgifterna tvungna att läcka eftersom offret hade vägrat att betala lösensumman. Därför var det "reglerna" som avgjorde vad som skulle göras, trots att hotet själv skrev dessa regler. Reglerna, som en abstrakt konstruktion, gör det möjligt för hotbildaren att skapa ett visst avstånd mellan sig själv och ansvaret för sina handlingar.

I en annan förhandlingschat försökte DarkSide också använda hotet om en dataläckage som vapen för att skrämma offret att betala lösensumman:

Support: Om du vill - du kan inte betala, vi behöver publikationer för bloggen.

Support: Vi behöver stöd: Din dataläckage kommer att vara en bra anledning för andra företag att betala oss.

(DarkSide, Negotiation Chat 1)

Conti använde sig av ett liknande tillvägagångssätt i en förhandling, då han gick till angrepp mot offret när offret inte gav "rimliga" erbjudanden om lösensumma:

Nej, vi är inte nöjda, dessa siffror är löjliga. Om tre dagar kommer vi att börja publicera dina uppgifter på vår webbplats och skicka dem till intresserade parter, och även denna chatt kommer att raderas, i framtiden kommer du inte att kunna få en utskrift. . . . Vi gör alltid eftergifter. Det föreföll oss som om ni beslutade att leka med oss genom att nämna sådana belopp. Ha en bra dag och lycka till.

(Conti, Negotiation Chat 24

Som vi kan se försöker man med detta språkbruk avleda ansvaret och skulden från hotet till offret. Målet verkar vara att minska offrets anspråk på legitim status som offer. På samma sätt är det också ett sätt för hotbildare att hävda sin makt över offret.

Genom att fastställa "regler" som offren måste följa framhäver hotbildare implicit att det är de som hela tiden har kontroll över situationen. Detta ger offret ett litet val: antingen följer hotbildaren vad han eller hon vill eller så får han eller hon ta konsekvenserna (t.ex. en offentlig dataläcka).

Detta är inte lika uppenbart eller direkt som de motiveringar vi såg tidigare, där hotaktören tog på sig rollen som medborgargarde för att straffa korrupt, vårdslöst eller försumligt beteende från offren. Den avsedda effekten är dock densamma: att neutralisera existensen av ett oskyldigt offer så att hotbildaren kan upphäva sin anslutning till "samhällets moraliska begränsningar" (Brewer et al., 2020: 549).

I linje med Sykes och Matzas teori om neutralisering belyser diskussionen ovan hur personer som ägnar sig åt cyberutpressning kan försöka förneka att det finns ett offer eller minska offrets anspråk på att vara offer.

Vi observerade detta beteende på två huvudsakliga sätt. Det första var när hotbildsaktörerna försökte skildra sina offer som förtjänande av straff på grund av ett offers påstådda korruption eller försumlighet. På grund av detta kunde hotbildaren sedan positionera sig som en medborgargarde och beskriva sina utpressningsattacker som en rättvis rättegång.

Det andra tillvägagångssättet var kanske mer trubbigt, där hotbildare ibland gav offrets val att inte betala lösensumman skulden för dataläckage direkt till offret. Genom att göra detta verkade vissa hotbildare befria sig själva från ansvaret för konsekvenserna av dataläckan.

Vi fann också vissa gemensamma drag mellan dessa två teman. Vid vissa tillfällen försökte hotbildsaktörer karaktärisera offer som inte förhandlade eller betalade en lösensumma som giriga, vårdslösa eller försumliga. Om vi vänder oss till Goffman (1959) en gång till verkar det som om offren förväntas hålla sig inom den roll som hotbildsaktören har satt upp för dem. Även om beloppet för lösensumman kan vara förhandlingsbart, är "reglerna för engagemang" definitivt inte förhandlingsbara.

Dessutom finns det ytterligare utrymme för att överväga hur hotbildsoperatörer utformar offerets temporalitet. Det vill säga, vid vilken tidpunkt blir ett offer ett offer? En del av det språkbruk som användes för att skylla på offren innebar att "offerskapet" började först när uppgifter läckte ut offentligt, men inte vid tidpunkten för kryptering eller datastöld.

Genom att tidsmässigt omformulera ett angrepp verkar hotbildsaktörerna antyda att de åtgärder som inträffade före den offentliga läckan skulle kunna betraktas som ett icke-angrepp. Återigen ser vi en viss överlappning med tekniken för att förneka skada från vår tidigare artikel. Genom ett sådant förnekande försöker man omdefiniera vad som är ett offer (och vad som inte är ett offer).

I nästa stycke kommer vi att diskutera den neutraliseringsteknik som kallas "fördöma de som fördömer", där vi har observerat vissa likheter med taktiken att skylla på offret. Genom att tyckas avleda uppmärksamhet och ansvar till tredje part finns det belägg för att hotbildsaktörer ibland försöker flytta strålkastarljuset bort från sitt eget ansvar för sina handlingar.