Cyberutpressning och ransomware: Avslöjande av neutraliseringstekniker för skadligt beteende - Del 2.

I vissa fall presenteras brottet som en direkt fördel för offret genom att det avslöjar säkerhetsbrister och sårbarheter, vilket kan liknas vid ett "bug bounty"-program. I andra fall framställs det som att det i stort sett gör det digitala samhället säkrare mot organisationer som vårdslöst lagrar känsliga uppgifter på ett osäkert sätt.

I andra fall har vi funnit att angripare använder sig av eller imiterar den typ av språk och terminologi som man normalt sett kan hitta i en affärsmiljö. Vi anser att även detta är en form av "förnekande av skada", eftersom denna process verkar försöka positionera beteendet som legitim affärsverksamhet mellan en tjänsteleverantör och en kund.

Vi har också funnit att angriparehar rationaliserat eller "neutraliserat" sitt beteende genom att explicit eller implicit antyda att deras offer lätt har råd att betala för "tjänsten" (att bli utpressad). Ett sådant tillvägagångssätt beskrevs också av Sykes och Matza 1957 när de funderade på hur människor som ägnar sig åt vandalism kan försöka neutralisera sitt brottsliga beteende.

Det finns flera punkter om vår metod som bör tas upp innan vi går vidare. I den här artikeln, och i resten av serien, kommer vi att undersöka bevisen för neutraliseringstekniker i vårt dataset med 232 unika innehållsobjekt. Dessa omfattar chattar för lösenförhandlingar, pressmeddelanden, tillkännagivanden och läckagesajter som kommer från 35 olika grupper av hotaktörer.

Vi använde oss av "framework-metoden" som vägledning för den tematiska analysen av vårt kvalitativa dataset (Ritchie och Spencer, 1994). Detta innebar att vi bekantade oss med uppgifterna, utvecklade och tillämpade ett system för märkning eller "kodning", kartlade de kodade segmenten och sedan kartlade och tolkade uppgifterna med hjälp av neutraliseringsteori (Sykes och Matza, 1957).

Det finns också alternativa samhällsvetenskapliga teorier som skulle kunna användas för att tolka och förstå fenomenet cyberutpressning på olika sätt. Till exempel skulle dramaturgisk analys (Goffman, 1959) kunna användas för att utforska hur medlemmarna i grupper av hotaktörer väljer språk för att framställa sig själva som uppfyllande av en "roll" som professionella affärsmän, på samma sätt som en skådespelare som spelar en roll på en scen.

Vi har inte för avsikt att täcka in den rika mångfalden av förklaringsteorier i ett enda stycke eller ens i denna serie som helhet. Vår poäng är helt enkelt att neutraliseringsteorin inte bör betraktas som den enda auktoritativa metoden.

Som medlemmar av cybersäkerhetsbranschen är vi som forskare dessutom inte positionerade som objektiva observatörer av ett socialt fenomen. Vår subjektivitet och partiskhet kan ses i användningen av termer som "hotbildsaktör" och "cyberutpressning" som i sig är värdeladdade.

Konsekvenserna av denna subjektivitet är viktiga och förtjänar att undersökas ytterligare, men det kommer vi inte att göra här. (För en sådan djupare undersökning av denna fråga, se Law och Singleton, 2000).

Vi är också medvetna om att datamaterialet inte är representativt för alla förhandlingssnack. Skribenterna ska inte heller ses som en fullständig representant för alla individer inom en hotbildsgrupp. Det vi har studerat är endast vad vi har kunnat få tillgång till och skrapa från den mörka webben.

Vi var inte heller den avsedda målgruppen för datasetet utan tolkar istället materialet i andra hand. Detta står i kontrast till direkta intervjuer med samtyckande deltagare, antingen med medlemmar av hotbildsgrupper eller med offren själva. Intervjuer av detta slag skulle ge rika och annorlunda insikter på detta område, och förblir en väg för framtida forskning att gå vidare med.

Slutligen finns det språkliga begränsningar att ta hänsyn till, eftersom många av hotbildarna inte skrev på sitt modersmål. Detta gör det svårare att exakt bedöma deras ursprungliga avsikter i texterna. Observera att citaten i den följande diskussionen inte har redigerats med avseende på grammatik eller syntax.

Texten är utformad på ett sådant sätt att överväganden om huruvida det finns skador på offren utesluts genom att man vädjar till det bredare målet att motivera organisationer att förbättra sin cybersäkerhet.

Eftersom Quantum inte tog hänsyn till de konsekvenser och skador som dessa åtgärder orsakade offren, förnekade Quantum genom att inte nämna att en skada inträffade eller att ett offer ens existerade. Det sistnämnda är en annan typ av neutraliseringsteknik som kommer att undersökas närmare i nästa forskningsartikel i den här serien. I båda fallen försökte Quantum dock övertyga läsaren om att deras handlingar kan betraktas som en tjänst som gynnar samhället.

Utöver dessa observerade vi också att aktörer som REvil, Maze, Conti och Rook använde ett språk som påminner om en "försäljningspresentation". Till exempel:

We've developed the best data encryption and decryption system available today. Our competitors allow themselves to lose and destroy their victims' data during the encryption or decryption process, making it impossible to recover the data. We don't allow ourselves to do that. So you should be glad you were infected by our guys, not our competitors. This means that when you pay for the decryption, you can be sure that all your data will be decrypted.

REvil, Customer Portal 1

REvil verkar försöka positionera sig som en överlägsen aktör på "marknaden" genom att använda ett sådant här försäljningsargument. Termer som "bästa systemet" och "våra konkurrenter" liknar vad legitima tjänsteleverantörer kan använda när de försöker övertyga potentiella kunder.

I ett av lösenbreven presenterade Maze ett liknande uttalande som liknar en försäljningspresentation som är utformad för att lugna kunderna före ett köp. Ur vårt perspektiv som medlemmar av cybersäkerhetsbranschen döljer dock "försäljningspratet" det faktum att interaktionen mellan hotbildare och offer är en utpressning, inte ett köp av en legitim tjänst:

What about guarantees? We understand your stress and worry. So you have a FREE opportunity to test a service by instantly decrypting for free three files on your computer! If you have any problems our friendly support team is always here to assist you in a live chat!

Maze, Ransom Note 1

Slutligen användes i ytterligare 46 poster i datamaterialet vad vi beskriver som "diverse affärstermer". Dessa termer har inte nödvändigtvis någon gemensam nämnare, men de påminner ändå om en affärsmässig miljö. Exempel på detta är "varumärkesrykte", "grunden för vår verksamhet", "marknad", "löfte om tystnadsplikt" och "insamling och analys av information".

Interviewer: What makes REvil so special? The code? Affiliates? Media attention?

REvil: I think it’s all of that working together. For example, this interview. It seems like, why would we even need it? On the other hand, better we give it than our competitors. Unusual ideas, new methods, and brand reputation all give good results.

REvil, Interview 2

To put it simply - the chances that Hell will freeze are higher then us misleading our customers. We are the most elite group in this market, and our reputation is the absolute foundation of our business and we will never breach our contract obligations.

Conti, Negotiation Chat 11

Maze Team is working hard on collecting and analyzing the information about our clients and their work. We also analyzing the post attack state of our clients. How fast they were able to recover after the successful negotiations or without cooperation at all. 

Maze, Press Release June 2020

Sammanfattningsvis har vi observerat ett stort antal fall där hotbildare använder eller imiterar språk som kan användas av legitima företag i samband med legitima transaktioner. Detta skulle kunna vara ett tecken på neutralisering, genom vilken hotbildare förnekar att krypterings- och utpressningsverksamhet orsakar skada för offret.

Vi föreslår därför att användningen av detta språkbruk har en omformningseffekt för hotaktören, som positionerar sitt beteende som ett kommersiellt tjänsteerbjudande.

Sociologin erbjuder andra teoretiska ramar som skulle kunna tolka dessa bevis på ett annat sätt. Till exempel föreslår dramaturgisk analys (se Goffman, 1959) att hotbildsaktörerna kan använda ett affärsspråk i performativt syfte på grund av en önskan att uppfattas som professionella och uppfylla rollen som "digital elit" i stället för att vara småtjuvar eller brottslingar.

Att tillämpa dramaturgi på detta dataset skulle öppna upp möjligheten till nya tolkningar och förklaringar, även om detta faller långt utanför den här seriens räckvidd.

BlackMatter använde ett liknande tillvägagångssätt genom att förklara att lösensumman fastställdes på grundval av offrets bokslut. De hävdade att offret var "gråtande fattigt" när de hävdade att de inte hade råd att betala, eftersom offrets ekonomiska redogörelser verkade visa på motsatsen.

Your company has over $ 200 million in revenue. I think you can pay this price. But we see business here, and these are negotiations. . . . Well, if you are such a poor company, please provide us with your tax reports and we will give you a discount based on them. We want to understand in which group you are of those who are ready to negotiate and pay? or will you be a laughing stock on our site of leaks and suffer reputational losses, as well as not recover your files?

BlackMatter, Negotiation Chat 2

Dessa motiveringar baserades ofta på offrets uppskattade årliga intäkter, snarare än på den årliga vinsten. Ett av många sådana exempel kan ses i Contis förhandlingar:

According to the public records your revenue is 47,000,000$, so this price is reasonable. . . . We don't think, that our estimates are incorrect. Your financial reports are somewhat more reliable, than your word here and now. . . . We looked throw your finance records, bank accounts and know that you have more available funds. We are ready to give you some discount, but that price is not reasonable. We own a lot of private data which cost much more.

Conti, Negotiation Chat 8

Det finns en falsk logik i angriparnas användning av intäkter som grund för beräkningen av lösenpriset, eftersom intäkter är något helt annat än vinst. En organisation med höga intäkter kan ha ett betydande budgetunderskott, vilket i sin tur skulle försvåra offrets möjligheter att betala det begärda priset.

Ändå är det värt att återvända till Sykes och Matza som noterade att förnekandet av skada, och dess tillhörande "orättfärdighet", var öppet för en mängd olika tolkningar från brottslingens sida (1957: 667). Dessa tolkningar behöver inte nödvändigtvis vara korrekta. De behöver helt enkelt vara tillräckliga i förövarens medvetande för att fungera som en neutralisering.

I exemplen ovan kan vi tydligt se att vissa personer som ägnar sig åt cyberutpressning har uppvisat beteenden som liknar neutraliseringstekniken "förnekande av skada". Det finns bevis som tyder på att vissa medlemmar i hotbildsgrupper omformulerar sin verksamhet som en legitim tjänst eller kommersiell produkt som kan köpas.

Denna neutralisering förvränger dock verkligheten. Det finns en maktobalans mellan hotbildaren och offret, och utpressningsprocessen har tydliga konsekvenser om offret väljer att inte betala (t.ex. läckage av känsliga uppgifter). Dessutom har offret inte frivilligt gått in i denna så kallade "affärstransaktion".

Denna inblick i hotbildsaktörernas tänkesätt väcker dock viktiga frågor som är värda att undersökas ytterligare. Hur kommer det sig att vissa personer som ägnar sig åt cyberutpressning försöker förneka den skada som offret har lidit? Är utpressningen som en "tjänst" helt enkelt ett sätt att övertyga offren att betala lösensumman, eventuellt till ett högre pris? Eller är hotbildsaktörernas neutraliseringar ett genuint försök att tillfälligt omformulera sin personliga moral för att göra det möjligt för dem att ägna sig åt brottslighet?

Om vi dessutom accepterar att en viktig motivation för utpressning på nätet är ekonomisk, kan offren då sänka lösenpriset i förhandlingsfasen genom att på något sätt utnyttja vissa hotbildsaktörers tendens att neutralisera sitt beteende? Kanske finns det sätt för förhandlare att reflektera tillbaka inkonsekvensen i den nya tillfälliga moral som människor som ägnar sig åt cyberutpressningsbeteende konstruerar för sig själva.

I nästa stycke kommer vi att överväga den neutraliseringsteknik som kallas "förnekande av offret/offerskapet". Som det kommer att framgå finns det ofta en överlappning mellan detta och "förnekande av skada", även om vi observerar subtila skillnader i hur de två teknikerna används.

• Goffman, E (1959), The Presentation of Self in Everyday Life, Doubleday, Garden City, NY.
• Law, J and V Singleton (2000), ‘Performing Technology’s Stories: On Social Constructivism, Performance, and Performativity’, Technology and Culture, vol 41, no 6, pp 765-775.
• Ritchie, J and L Spencer (1994), 'Qualitative Data Analysis for Applied Policy Research', in A Bryman and R G Burgess (eds), Analyzing Qualitative Data, Routledge, London, pp 173-194.
• Sykes, G M and D Matza (1957), ‘Techniques of neutralization: A theory of delinquency’, American Sociological Review, vol 22, no 6, pp 664-670.