Avslöjande av hotaktörers manipulativa metoder: Utforska neutraliseringstekniker inom cyberutpressning och ransomware

12 July 2023

"Vi är inte ansvariga för det" - Neutralisering genom förnekande av ansvar

Författare: Ivanche Dimitrievski, Adam Ridley, och Diana Selck-Paulsson

Det här är den sjätte artikeln i en serie som undersöker hur hotaktörer inom cyberutpressning och ransomware använder "neutraliseringstekniker" för att legitimera sitt skadliga beteende.

Sykes och Matza (1957) hävdar att personer som ägnar sig åt brottslig verksamhet använder sig av retoriska tekniker för att neutralisera den skuld som följer med att begå ett brott. På så sätt kan de begå brott samtidigt som de förblir engagerade i det dominerande normsystemet och tolkar sina avvikande handlingar som acceptabla.

Vi tog upp detta tillvägagångssätt i den första delen av denna serie, där vi också beskrev vårt forskningsmaterial. I del två utforskades neutraliseringstekniken "förnekande av skada", som visar hur hotaktörer försöker omformulera och ompositionera sitt skadliga beteende som en affärstjänst.

I del tre undersökte vi "förneka offret", vilket i det här fallet innebar att man gjorde offret till en skurk samtidigt som man framställde hotaktören som en hämnare. I del fyra följdes detta av en granskning av hotaktörernas försök att rättfärdiga sitt beteende genom att fördöma dem som motsätter sig det.

Del fem handlade om hotaktörers "vädjan till högre lojaliteter". Med hjälp av denna neutraliseringsteknik försöker hotaktörer visa upp en bild av sig själva som offrar sociala normer till förmån för ett mer angeläget värde, såsom lojalitet mot familjen eller "det större goda". Vi diskuterade detta som en varumärkesstrategi för organisationer, men också som en motiverande kraft bakom kriminell verksamhet.

Det här är den sista delen i serien och vi kommer att fokusera på neutraliseringstekniken "förnekande av ansvar". Enligt Sykes och Matza förnekar förövare ansvar genom att hävda att deras beteenden är oavsiktliga eller resultatet av krafter som ligger utanför deras kontroll. De framställer sig själva som offer för omständigheterna och som produkter av sin omgivning.

Vi har i tidigare delar av denna serie noterat att Sykes och Matzas ansats inte handlar om giltigheten i sådana orienteringar, utan snarare om deras funktion att "avleda skulden för brott mot sociala normer" (1957: 667). Genom att lära sig att se sig själva som någon man agerar på snarare än som någon som agerar, bereder förövarna vägen för "avvikelser från det dominerande normsystemet utan att behöva gå till frontalangrepp mot själva normerna" (ibid).

Nu tittar tittar vi på olika material, inklusive förhandlingschattar, publicerade intervjuer med hotaktörer och läckta sidor för att avslöja några av de diskursiva strategier som hotaktörer använder för att tilldela och fördela ansvarsförhållanden. Utifrån detta diskuterar vi de potentiella effekterna av denna process. Vi kommer att undersöka hotaktörernas försök att skapa en bild av sig själva som "reglerade" och "pålitliga" enheter, att sprida ansvaret för ett brott genom att "skylla på offret" och att skapa rädsla genom att skapa zoner där inget ansvar finns.

Observera också att citaten från hotaktörerna nedan inte har redigerats med avseende på grammatik eller syntax.

Ansvarsfulla fiender och återskapandet av förtroende

Förtroende spelar en viktig roll vid cyberattacker. Data är låst, därefter begärs en lösensumma begärs i utbyte mot att data blir upplåst. Men offret behöver någon form av försäkran om att data verkligen kommer att låsas upp efter att lösensumman har betalats. Och eftersom denna process inte är reglerad normalt, dvs. det finns inga officiella enheter som kan säkerställa att data hämtas, är offrets förtroende för hotaktören absolut nödvändigt.

Om hotaktören förlorar förtroendet kan det leda till att de inte får betalt, vilket inte är det bästa resultatet för hotaktören.

Ett sätt för hotaktörer att skapa förtroende är genom att skapa en offentlig bild av sig själva som socialt ansvarstagande enheter. I följande utdrag gör Cl0p en deklaration om att hålla sig till en princip om att inte attackera en uppsättning organisationstyper, och att göra rätt mot sådana organisationer i händelse av en attack.

We have never attacked hospitals, orphanages, nursing homes, charitable foundations, and we will not. Commercial pharmaceutical organizations are not eligible for this list; they are the only ones who benefit from the current pandemic. If an attack mistakenly occurs on one of the foregoing organizations, we will provide the decryptor for free, apologize and help fix the vulnerabilities. (Announcement_Cl0p_1a_txt, Pos. 4)

Utdraget projicerar en bild av hotaktören som en moralisk agent som följer en viss etisk princip som grund för sina attacker. Vi kan observera en liknande effekt i följande utdrag från en intervju med ALPHV. Som svar på en journalists fråga om hur de kontrollerar sina dotterbolag, säger ALPHV:s representant:

(…) we do not run an active advertising campaign and easily cut ties with non-compliant partners, but no matter how hard we try to filter people when creating an account — shit happens. There was already one episode with, I quote, “not the neighboring countries.” Decryption keys were issued automatically with the affiliate getting banned. (Interview_ALPHV_1a txt)

Lösch, Heil och Schneider (2017) beskriver "responsibilisering" som en visionsprocess som innebär att ansvar fördelas mellan de aktörer som kollektivt formar sociotekniska arrangemang. Uttalandet ovan kan ses som ett exempel på en sådan process, som producerar en bild av hotaktören - ALPHV, som en ansvarsfull enhet som håller andra i sitt nätverk i schack. Vi leds att tro att dessa "partners" hålls till en moralisk standard, och att varje brott mot denna standard möts med adekvata sanktioner.

I dessa utdrag beskrivs interna överträdelser av dessa angreppspolicyer som "olyckor" och "misstag". Cl0p och ALPHV framställs som att de tar på sig ansvaret för dessa olyckor/misstag. De klipper inte bara banden med det skyldiga dotterbolaget, utan utfärdar också dekrypteringsnycklar, ber offret om ursäkt och hjälper dem att åtgärda sårbarheterna i sina säkerhetssystem för att förhindra potentiella framtida attacker.

Det är dock viktigt att understryka att ett ansvarstagande för sådana "oavsiktliga" attacker inte automatiskt innebär att man accepterar ansvar.

Snarare fördelas ansvaret genom att hotaktören framställs som en konstellation av underaktörer och orsaken till dessa attacker lokaliseras till en "felaktig" del av den påstått enhetliga helheten. På detta sätt görs en del, snarare än helheten, ansvarig för attackerna och avlägsnandet av den "felaktiga" delen kan därmed förstås som en handling för att återskapa hotaktören som en pålitlig enhet.

Att skylla på offret

En cyberattack kan tolkas på flera olika sätt, beroende på perspektivet hos den person eller grupp som är inblandad. Tänk på följande utdrag ur ett kravbrev från Babuk:

Om ni ser det här meddelandet har ert företag slumpmässigt valts ut för en säkerhetsrevision och ert företag har inte klarat den. (Lösenbrev_Babuk_4a txt)

Uttalandet uppmanar oss att tolka attacken som ett resultat av att det drabbade företaget inte har kunnat skydda sig på ett tillfredsställande sätt.

Detta är förvisso inte det enda sättet att tolka vad som har hänt, och uttalanden som de ovan är karakteristiska för att bagatellisera cyberattackernas komplexitet. Till exempel inbegriper cyberattacker normalt mycket sofistikerade tekniker för social ingenjörskonst. Det kan handla om att identifiera svagheter i offrets cybersäkerhetssystem och skapa en situation (t.ex. ett phishingmejl) som vädjar till den svagheten och därmed ökar sannolikheten för ett intrång.

Uttalanden som de ovan ligger därmed i linje med en bredare diskurs kring offer för nätbedrägerier, som Cross (2015) konstaterar till stor del bygger på föreställningar om skuld och ansvar som läggs på offren själva för deras misslyckande att undvika att bli offer från första början. I sina offentliga uttalanden vädjar hotaktörer ofta till faktiska och potentiella offers ansvar att se till att människors data är säkra:

Our third volume of different companies working in different industries and who failed to protect their data (…) (Leak Page_Karakurt_3a-b img)

Due to poor security of your networks, we have downloaded your critical information with a total volume of more than 50 GB. (Negotiation chat_Conti_11a-b txt)

[REDACTED VICTIM COMPANY NAME] can’t be proud of using the latest technologies and providing security and confidentiality of documents. The company has failed to secure their data, including documents related to customers and partners. (Leak page_Marketo_1a img)

Återigen framställs dessa attacker inte som exempel på "framgångsrika erövringar" där någon annans data hackas, stjäls och läcker ut, utan som att offren misslyckats med att skydda sina/personernas data. Som också har undersökts i tidigare artiklar i denna serie, beskrivs detta "misslyckande att skydda" ofta som en intern prioritering hos den drabbade organisationen:

Unfortunately there are still a lot of companies that are don't want to take responsibility for the personal information that gathered and don't want to improve security measures. (Leak page_Ragnar Locker_2a txt)

Move along people, nothing much to see here. Just one other law firm collecting big fees yet forgetting to protect personal information of clients. (Leak page_Cl0p_1a txt)

We think that everyone should know about this company is not working on their security measures and represents an unsafe partner. All employees and clients also should know that they better not trust any personal information to the company. (Leak page_Conti_1a txt)

Dessa uttalanden kan tolkas som att offret görs ansvarigt för attacken. Denna ansvarsprocess kan kanske förstås som en handling för att befria sig själv, men mer direkt fungerar den som ett incitament för offren att följa uppmaningen genom att, till exempel, vädja till offrens känsla av skyldighet att göra bot och bättring genom att betala lösen och därmed återfå de stulna uppgifterna.

De sociala aspekter som tas upp ovan är därför inte bara egenskaper hos det sammanhang där en attack inträffar. De är snarare nyckelelement i de bredare sociotekniska processer som utgör cyberattacker. Detta framgår också av följande utdrag ur en förhandlingschatt mellan ransomware-gruppen Babuk och en offerorganisation:

Victim organization: Tell me how you decided 4 million for this? It seems extremely high for a public sector entity
Babuk: You are funded by the state, the state has to pay, and not your employees, you are not a private company, but please do not assure us that you are poor, you are not some kind of police station from the village, you are PD of the Capitol (Negotiation chat_Babuk_1c img)

Babuks insisterande på att offret kan betala lösensumman innebär en organisering av ansvar, där "staten" görs ansvarig för den enhet som är en del av den. Dessutom är detta inte vilken enhet som helst - "inte någon slags polisstation från byn" - utan "PD från Capitolium", vilket antyder att det finns medel för att betala lösensumman. Omspecificeringen av offrets enhet i termer av dess relation till staten tjänar till att motverka offrets självporträttering som bara "en enhet inom den offentliga sektorn" som inte kan betala en lösensumma som är så "extremt hög" som den som krävs.

Vår analys tyder alltså på att ransomware-attacker kan ses som något som utvecklas genom det diskursiva arrangemanget av de aktörer som är inblandade i attackerna. Detta inkluderar att specificera aktörernas identiteter som en del av dessa attacker, samt ansvarsförhållandena mellan dem.

Utgörandet av "hotet"

I en tidigare artikel i denna serie föreslog vi, i enlighet med Van Lente och Rip (1998), att hotaktörers uttalanden på ett produktivt sätt kan förstås som "kraftfulla fiktioner". Även om de inte kan ses som objektiva skildringar av cybersäkerhetsscenarier, kan de sägas ha verkliga effekter i världen.

I hög grad är dessa uttalandens kraftfullhet beroende av att de tolkas som "hot". Enligt Cavelty (2013) är ett viktigt inslag i cybersäkerhetsdiskursen konstruktionen av hot genom framkallandet av en skuggig, osynlig men mäktig fiende. Vår forskning visar att denna trope ofta mobiliseras av motståndarna under cyberattacker. Tänk på detta utdrag:

Victim organization: I do not fear your threats!
Egregor: That is not the threat, but the algorithm of our actions. (Ransom note_Egregor_1a txt)

I Ergors svar beskrivs deras handlingar som algoritmiska. Detta projicerar en bild av Egregor som en mäktig osynlig kraft som agerar enligt sin egen inre logik, opåverkad av eventuella åtgärder som offret kan initiera för att stoppa den.

Med andra ord består hotet i det här fallet av att framställa Egregor som en slags enhet som saknar responsförmåga, vilket är ett annat sätt att tänka på "ansvar" - nämligen en förmåga att svara på situationens eller andras krav.

Trots att Egregor uttryckligen förnekar beskrivningen, är hans svar på offrets försök att konfrontera dem organiserat för att accentuera känslan av hot.

Följande utdrag är från en förhandlingschatt som involverar hotaktören Babuk:

We are still waiting for your price. We all realize that if this info will be uploaded to the public sources, you will lose much more. (Negotiation chat_Babuk_2a-j txt)

Utdraget anspelar på farorna med att ens data exponeras för allmänheten. Samtidigt positionerar utdraget Babuk - den hotaktör som för närvarande har kontroll över uppgifterna - som utanför den konstellation av aktörer som gör "allmänheten" till en farlig plats.

Det senare är ett vanligt drag bland hotaktörer:

Who knows how the third party can use those documents, we are not responsible for that. (Ransom note_Babuk_2a txt)

Companies under attack of Ragnar_Locker can count it as a bug hunting reward, we are just illustrating what can happens. But don't forget there are a lot of peoples in internet who don't want money - someone might want only to crash and destroy. (About us_Ragnar Locker_1a txt)

At this point, all off your files are about to get public on our blog and will be available for anyone, including darknet criminals who are eager to abuse your information for their own evil purposes like social engineering attacks against your customers and vendors, spamming, and other bad actions. (Negotiation chat_Conti_17a-k txt)

I segmenten ovan förnekar hotaktörerna ansvar för uppgifterna när de inte längre är i deras ägo. Precis som i fallet med Babuk ovan hänvisar dessa förnekanden av ansvar alltid till att det finns en tredje part - i allmänna termer som "människor på internet" eller "vem som helst, inklusive darknet-brottslingar" - hos vilken den "verkliga faran" finns.

Avgörande är att bilden av en kroppslös, anonym, okontrollerbar tredje part ställs mot bilden av hotaktören, som framställs som ansvarig och i kontroll. Genom att avgränsa ansvaret på detta sätt iscensätter man existensen av ett hot där ute, och positionerar hotaktören och offret som samarbetspartners, som genom att arbeta tillsammans kan undvika detta hot.

Vi kan alltså se att hot-tropen används i dessa utdrag tillsammans med uttalanden om ansvar för att forma utvecklingen av den sociotekniska process som utgör cyberattacken.

Slutsats

I den här artikeln tittade vi på olika texter från hotaktörer och hur dessa texter skapar ansvarsförhållanden som beståndsdelar i cyberattacker. Mer specifikt undersökte vi hur dessa aktörer kan förneka ansvar för dessa attacker.

Vår analys visar att det för det mesta inte handlar om uttryckliga "förnekanden" av ansvar och, vilket är viktigt, att sådana handlingar inte nödvändigtvis leder till ansvarsfrihet eller självrättfärdigande. Snarare utgör de förskjutningar, fördelningar, antaganden och tillskrivningar av ansvar, med olika retoriska konsekvenser.

Ibland använder hotaktörer ansvarsfördelning för att betona skada, och ibland för att skapa förtroende, på sätt som uppmuntrar till vissa typer av handlingar, som vanligtvis är fördelaktiga för hotaktören, t.ex. att offret följer reglerna.

I ett vidare perspektiv kan vi betrakta de uttalanden som analyseras i denna artikel som "manus" (Van Lente & Rip 1998) som positionerar de olika aktörerna som karaktärer i en berättelse som ska utspelas. Som sådana är dessa uttalanden potentiellt kraftfulla verktyg för att samordna cyberattacker. Att förstå den sociala dynamiken kring dessa skript är avgörande om vi ska kunna avgöra varför vissa av dem misslyckas i specifika fall medan andra är framgångsrika.

Referenser

^{Cavelty, M.D. (2013) From Cyber-Bombs to Political Fallout: Threat Representations with an Impact in the Cyber-Security Discourse. International Studies Review, Vol. 15, pp. 105-122.}

^{Cross, C. (2015). No laughing matter: Blaming the victim of online fraud. International Review of Victimology, Vol 21, No 1, pp 187-204.}

^{Lösch, A., Heil, R. & Schneider, C. (2017). Responsibilization through visions. Journal of Responsible Innovation, Vol 4, No 2, pp 138-156.}

^{Sykes, G M and D Matza (1957), ‘Techniques of neutralization: A theory of delinquency’, American Sociological Review, vol 22, no 6, pp 664-670.}

^{Van Lente, H and A Rip (1998), ‘Expectations in technological developments: An example of prospective structures to be filled in by agency’, in C Disco and B J R van der Meulen (eds), Getting New Technologies Together, Walter de Gruyter, Berlin, New York, pp 195-220.}