Avvikelser med motivering: Utforska neutralisering genom hänvisning till högre lojaliteter inom cyberutpressning - Del 5.

Den här artikeln är del fem i en pågående serie om hur cyberutpressning (Cy-X) och ransomware. Hotaktörer använder neutraliseringstekniker för att avvika från sociala normer och delta i skadlig verksamhet. I del ett presenterades vår forskningsansats och teorin om vad neutraliseringstekniker är. I del två och tre visade vi hur hotbildsaktörer förnekar att de orsakar en skada och hur hotbildsaktörer förnekar existensen av ett offer eller deras offers anspråk på att vara offer.

I vårt senaste tillägg till denna serie undersöktes hur hotaktörer avleder uppmärksamheten från sina egna handlingar genom att kritisera personer eller institutioner som motsätter sig deras illvilliga verksamhet - den teknik som kallas "fördömande av de som fördömer".

Som vi har beskrivit genom hela den här serien är de olika formerna av neutralisering tekniker för människor som deltar i brottslighet för att tillfälligt avvika från accepterade normer utan att äventyra samhällsmoralen (Sykes och Matza, 1957).

Fokus i det här avsnittet är den teknik som kallas "vädjan till högre lojaliteter". Här offras sociala normer eller förväntningar till förmån för ett, i hotbildsaktörens medvetande, till synes mer angeläget värde. Dessa värden kan vara lojalitet mot familjen eller en känsla av ansvar som uppstår genom att tillhöra en social grupp.

_{Figur 1: Poster i datasetet som innehåller neutralisering av "vädja till högre lojalitet".}

Oavsett vilken norm som gäller för "högre lojalitet" menar Sykes och Matza att konflikten mellan denna norm och samhällsmoralen leder till ett internt dilemma som slutligen löses "till priset av att bryta mot lagen" (Sykes och Matza, 1957: 669). De menar att samhällsnormer inte nödvändigtvis förkastas, utan att andra normer istället ges företräde.

Till exempel kan personen erkänna att det är "fel att stjäla" men kanske stjäl han eller hon ändå eftersom resten av gänget förväntar sig att han eller hon ska rätta sig efter dem.

I det följande avsnittet diskuterar vi tre varianter av dessa vädjanden till högre lojalitet. Den första är att hjälpa människor i nöd. Här vädjar hotbildsaktörerna till altruism och antyder att deras cyberutpressningsverksamhet har välgörande eller filantropiska fördelar genom donationer eller pro bono-arbete.

I det andra temat, samhälleliga framsteg, hävdade hotaktörerna att deras handlingar tvingade organisationer att ta cybersäkerhet på allvar. I synnerhet hävdade de att deras attacker fungerade som en katalysator för teknisk utveckling och förfarandemässiga innovationer.

För det tredje fann vi också att politiska värderingar kan tjäna som ramverk för hotbildsaktörernas beskrivningar av sitt beteende, särskilt som en motivering för val av mål. Hotaktörerna använde denna inramning för att hävda att de gör samhället bättre, på ett sätt som verkar stämma överens med deras ideologiska världsbild.

Observera dessutom återigen att de citat från hotbildsaktörer som ingår nedan inte har redigerats med avseende på grammatik eller syntax.

Det första temat som vi såg i uppgifterna var en vädjan om altruism. I stället för att fokusera på de skadliga effekterna av infektion med ransomware och utpressning av offren, betonade vissa hotbildare filantropiska donationer eller välgörenhetsintentioner. DarkSide erkände till exempel att deras cyberutpressningsverksamhet kan ses som "etiskt tvivelaktig". De ville dock också bli sedda i positiv bemärkelse genom att bidra med en del av sina intäkter till välgörenhetsorganisationer:Som vi sa i det första pressmeddelandet riktar vi oss endast till stora lönsamma företag. Vi tycker att det är rättvist att en del av de pengar som de har betalat går till välgörenhet. Oavsett hur dåligt du tycker att vårt arbete är så är vi glada att veta att vi hjälpt till att förändra någons liv.

Som vi sa i det första pressmeddelandet riktar vi oss endast till stora lönsamma företag. Vi tycker att det är rättvist att en del av de pengar som de har betalat går till välgörenhet. Oavsett hur dåligt du tycker att vårt arbete är så är vi glada att veta att vi hjälpt till att förändra någons liv.

Idag skickade vi de första donationerna:

- children.org - hjälper fattiga barn att få utbildning.
Donationsbelopp: $ 10,000.

- thewaterproject.org - hjälper afrikaner att få tillgång till dricksvatten.
Donationsbelopp: $ 10,000.

Låt oss göra världen till en bättre plats :)

(DarkSide, tillkännagivande 2)

Den sista raden är en uppmaning till handling och verkar uppmana läsarna, eller kanske till och med offren, att ansluta sig till DarkSides projekt för ransomware och cyberutpressning. Frasen låter också som en slogan som en välgörenhetsorganisation skulle kunna använda. På detta sätt verkar DarkSide karaktärisera sig själva som välvilliga, snarare än illvilliga.

Hotaktören HolyGhost försökte öppet presentera sig själv på ett altruistiskt sätt, med sitt namn och sin logotyp som försökte positionera sig som moraliskt överlägsna andra utpressningsbrottslingar.

_{HolyGhost, Om oss 1}

Bilden av duvan och namnet "HolyGhost" anspelar båda symboliskt på den kristna trons gudomliga "heliga ande", som kristna tror fungerar som en hjälpreda. Dessutom vädjar HolyGhosts manifest uttryckligen till denna religiösa altruism. De gjorde detta genom att hävda att de hjälper de "fattiga och svältande" genom att ge pengar som de tagit från offren till välgörenhet. Redan användningen av ordet "kamp" antyder att för HolyGhost är deras arbete för att hjälpa de fattiga en moralisk börda som de har tagit på sig själva.

Ordet "struggle" kan också vara ett ordningsfel, eftersom engelska inte verkar vara författarens förstaspråk. I stället kan en annan möjlig innebörd av vad de kan ha avsett att säga vara "Vad strävar vi efter?". På så sätt beskriver och rättfärdigar deras inlägg deras handlingar, nästan som en uppdragsbeskrivning.

I andra fall har hotbildsaktörer försökt att framställa sig själva som välvilliga mot vissa typer av offer som hade smittats av ransomware. I ett av sina tillkännagivanden avgränsade Cl0p tydligt vissa typer av organisationer som off-limits:

Lystring!!!

Vi har aldrig angripit sjukhus, barnhem, vårdhem eller välgörenhetsstiftelser och kommer inte att göra det heller. Om en attack av misstag sker mot någon av de ovannämnda organisationerna kommer vi att tillhandahålla dekrypteringen gratis, be om ursäkt och hjälpa till att åtgärda sårbarheterna.

(Cl0p, tillkännagivande 1)

Cl0ps erbjudande om en gratis dekrypterare och sårbarhetsrättelser för välgörenhets- och sjukvårdsorganisationer var hypotetiskt i citatet ovan. Babuk däremot hänvisade till specifika exempel där de hade omsatt sina välgörenhetsavsikter i handling.

Det händer att offret hävdar att han eller hon inte har råd att betala vår lön. Vi kontrollerar då offrets ekonomiska situation och fattar ett beslut om storleken på vårt arvode. Nyligen har vi angripit ett afrikanskt företag som handlade med bränsle, men som på grund av pandemin förlorade sin finansiella likviditet och faktiskt inte hade möjlighet att betala oss. Vi sade upp oss från lönen och tillhandahöll dekrypteringsverktyget gratis.

(Babuk, intervju 2)

I det första exemplet hävdade Babuk att han skulle utvärdera varje offrets ekonomiska kapacitet. När de attackerade ett afrikanskt företag beslutade de att avstå från dekrypteringsavgiften. Undertexten här är en förmodad stereotyp att afrikanska företag är fattiga eller sårbara och därför inte har råd att betala en lösensumma. Genom att åberopa denna stereotyp kunde Babuk framställa sig själva som altruistiska eller välvilliga, trots att de faktiskt attackerade offret från början.

Dessa former av "eftertankar" kan observeras även hos andra hotbildsaktörer, vilket understryker argumentet att dessa attacker ofta är av opportunistisk karaktär. Om det efter det första intrånget visar sig att offrets organisation inte har råd att betala lösensumman, eller om den tillhör en bransch som hotbildaren lovat att inte attackera, kan hotbildaren "erbjuda" gratis dekrypteringsverktyg för att rätta till sina skadliga handlingar.

I det andra exemplet nedan hävdade Babuk att han skulle hjälpa ett vårdhem gratis:

Vi hjälpte nyligen ett vårdhem. Vi hittade sårbarheter i deras nätverk och lappade dem, helt gratis. Vi respekterar de äldre och de som hjälper dem. Det är inte en fråga om kultur eller religion - det är bara det att varje person bör respektera äldre, funktionshindrade och de människor och institutioner som hjälper dem.

(Babuk, intervju 2)

Babuk vädjar också till läsarnas känsla av altruism genom att rättfärdiga deras engagemang i brottslighet genom att visa hur det kan tillämpas även på välgörenhet.

Dessa tre citat ovan tjänar ett dubbelt syfte för hotbildsaktörerna. Å ena sidan försöker hotbildsaktörerna visa att de har förmågan att "göra gott" - eller så vill de att vi ska tro det. Å andra sidan verkar de positionera sig som "domare". Cl0p och Babuk tycks ta på sig makten att avgöra vem som är "god" eller "oskyldig" (och inte bör attackeras) och vem som är ett legitimt mål (som är värd att attackeras).  Med andra ord skapar dessa citat en moralisk ram för sina handlingar.

I motsats till Cl0p och Babuk vädjade LockBit till en särskild form av altruism på grund av att han ville hjälpa en sjuk familjemedlem. Detta är i linje med ett av de arketypiska exemplen på denna neutraliseringsteknik som beskrivs av Sykes och Matza (1957).

Q: När du blev miljonär, hur mycket förändrade den känslan dig som person? Vad i din världsbild har förändrats i grunden?

A: Det gav mig självförtroende för framtiden, och även möjlighet att betala för en mycket dyr operation som krävdes för min bror. Inställningen till säkerhet och anonymitet har förändrats i grunden.

(LockBit, intervju 2)

I exemplen ovan kan vi alltså se bevis för att hotbildsaktörer framställer sin cyberutpressning i ett positivt, altruistiskt ljus. Denna vädjan ger upphov till ett moraliskt dilemma, där beteendet både ses som ett brott mot samhällsmoralen, men samtidigt också kan vara välgörande till sin natur.

Det andra huvudtemat som vi ser i vårt dataset är fall där hotaktörer har antytt att attacker med ransomware och cyberutpressning tvingade fram förändringar i informationssäkerhetsrutinerna i organisationer världen över.

Detta var den vanligaste linjen som vi observerade att hotbildsaktörer använde för att neutralisera sina handlingar med hjälp av tekniken "vädja till högre lojaliteter", och den förekom i 12 unika poster i datasetet från sju olika hotbildsaktörer.

Neutraliseringar som dessa var vädjanden till rationalitet, där hotaktörerna framställde sina attacker som en del av ett större beteendemönster som i slutändan skulle tvinga organisationer att ändra och stärka sin cybersäkerhetsställning.

Neutraliseringar som tar denna form har tidigare observerats av Hutchings och Clayton (2016) som fann att hackare tror att deras handlingar bidrar till att öka nätverkssäkerheten mer generellt. Som vi finner i vårt eget dataset rättfärdigar hotaktörer den kriminella karaktären hos cyberutpressningsattacker eftersom de påstås skapa ett säkrare och tryggare samhälle.

Tänk till exempel på detta utdrag ur ett av Maze's pressmeddelanden:

Vår värld sjunker i hänsynslöshet och likgiltighet, i lathet och dumhet. Om du tar ansvar för andra människors pengar och personuppgifter, försök då att hålla dem säkra. . .  Hur kommer det sig att ni inte förstår att det just nu räcker med en hackerattack för att ett stort område eller ett land ska förlora tillgången till internet, vatten, gas och elektricitet.

_{Maze, pressmeddelande november 2020}

Maze ger en social kommentar här, genom att identifiera och problematisera problemet med dålig internetsäkerhet runt om i världen. Detta innebär att utpressningsattacker på nätet fungerar som viktiga katalysatorer för att förändra och förbättra säkerhetsrutinerna.

Maze har tidigare antytt detta problem i ett tidigare pressmeddelande och hävdat att en av de viktigaste faktorerna är "oansvariga företag":

Vi kommer att förändra situationen genom att låta oansvariga företag betala för varje dataläcka. Du kommer allt oftare att läsa om våra framgångsrika attacker i nyheterna.

_{Maze, pressmeddelande mars 2020}

Efter att ha beskrivit problemet positionerar Maze sig som en aktör som "kommer att förändra situationen". Maze antyder här att "oansvariga företag" oundvikligen kommer att förbättra sina säkerhetsrutiner så att de inte faller offer för infektioner med ransomware. Maze antyder följaktligen att deras kriminella illgärningar tjänar ett högre syfte för ett större bästa.

Ragnar_Locker gjorde liknande påståenden på fyra separata läckagesidor i vårt dataset. Till exempel:

Tyvärr finns det fortfarande många företag som inte vill ta ansvar för den personliga information som samlas in och som inte vill förbättra säkerhetsåtgärderna. Därför kommer vi att fortsätta att publicera nyheter om företag som inte värdesätter sina kunders och samarbetspartners integritet.

_{Ragnar_Locker, läcka sida 2}

 

Vi är övertygade om att alla borde känna till [REDACTED COMPANY NAME] ett sådant beslut och en sådan slarvig inställning till dataintegritet. Detta kan tyckas galet på 2000-talet, när alla företag borde arbeta hårdare med sina säkerhetsåtgärder.

_{Ragnar_Locker, läcka sida 3}

Dessa teman upprepades på de andra två Ragnar_Locker-läckagesidorna. På läckagesida 2 lyfter hotbildaren på ridån för läsaren och ger en tydlig motivering till varför de attackerar företag. Ragnar_Locker vädjar till det högre värdet av att göra det digitala samhället säkrare genom att tvinga organisationer att ändra sina beteenden och metoder och "straffa" dem för deras slapphet.

Quantum är ännu tydligare när de presenterar sig själva som en katalysator för förändring och erbjuder påtvingad "rådgivning" snarare än bestraffning:

Om oss: Vi är ett team av erfarna IT-specialister som arbetar med nätverkssäkerhet som ett av 2000-talets största problem. Vi forskar om alla aspekter inom detta område och tvingar verksamheten att utveckla IT-försvar och IT-säkerhet.

_{Quantum, om oss 1}

Vi ser en liknande argumentation från både BlackMatter och Babuk i offentliga intervjuer:

Vi förnekar inte att [vår] verksamhet är destruktiv, men om vi tittar djupare - som ett resultat av dessa problem utvecklas och skapas ny teknik. Om allt var bra överallt skulle det inte finnas något utrymme för ny utveckling.

_{BlackMatter, intervju 1}

Jag vill inte hota någon, jag ber bara om att ni ska skydda den yttre gränsen så kommer det inte att bli några problem.

_{Babuk, intervju 1}

Slutligen återvänder vi till HolyGhosts manifest igen. De uppgav att det tredje målet för deras organisation var:

3) Att öka din säkerhetsmedvetenhet och låta dig veta vad som är utrymme i ditt företag.

HolyGhost, om oss 1

Exemplet från HolyGhost är symboliskt för denna form av neutralisering. Genom att framställa cyberutpressningsattacker som en katalysator för förbättrad säkerhetsmedvetenhet framställs hotbilds aktörer som viktiga aktörer för att stärka internetsäkerheten i stort.

Om vi tänker tillbaka på den tredje delen i den här serien där hotaktörer försöker förneka offret kan vi se en viss konceptuell överlappning. Men i stället för att avfärda ett offers anspråk på att vara offer på grund av oaktsamhet, utformar hotaktörerna sina attacker positivt genom att betona de fördelar som attackerna medför. De tycks blanda ut det moraliska vattnet, även om de kanske vet att deras beteende är etiskt tvivelaktigt.

I detta fall minskar offrets roll och fokus på offret, eftersom fenomenet cyberutpressning presenteras som ett projekt som i slutändan kommer att ge positiva fördelar för det digitala samhället.

Över hela detta tema verkar det dock finnas en moralisk motsägelse: existensen av utpressningsattacker bidrar till att det digitala samhället blir mindre säkert. Hotaktörer hävdar att de är en del av lösningen på ett problem som de själva är med och skapar - och tjänar mycket på.

Det tredje temat som vi såg framträda ur uppgifterna var ett tema som rörde hotbildsaktörernas politiska motiv eller sympatier. I synnerhet såg vi att hotbildsaktivisterna presenterade en politisk dimension för att på något sätt mildra eller rättfärdiga sin inblandning i utpressningsverksamheten.

Om vi till exempel återvänder till citatet från BlackMatter-intervjun från tidigare ser vi politiska undertoner i deras val av diskurs:

[Intervjuare]: Det är uppenbart att det finns många begåvade yrkesmän i ert team. Hur kommer det sig att denna talang är inriktad på destruktiv verksamhet? . . .

BlackMatter: Vi förnekar inte att [vår] verksamhet är destruktiv, men om vi tittar djupare - som ett resultat av dessa problem utvecklas och skapas ny teknik. Om allt var bra överallt skulle det inte finnas något utrymme för ny utveckling.

Det finns ett liv och vi tar allt från det, vår verksamhet skadar inte enskilda personer utan riktar sig endast till företag, och företaget har alltid möjlighet att betala medel och återställa all sin data.

(BlackMatter, intervju 1)

BlackMatter hävdar i huvudsak att deras åtgärder katalyserar utvecklingen av nya metoder och tekniker för cybersäkerhet. Den sista meningen om val av offer avslöjar dock på ett subtilt sätt en politisk hållning. Genom att ange att de endast riktar sig mot företag och inte mot enskilda personer, vädjar hotbildaren till antikapitalistiska värderingar.

Inte nog med det, genom att separera idén om ett "företag" från de "människor" som utgör det, abstraherar BlackMatter offret, eventuellt för att minska sitt eget moraliska ansvar. På så sätt kringgår man det faktum att offentliggörandet av intern information lätt kan skada enskilda anställda och kunder, snarare än bara den drabbade organisationen som helhet. Det finns utrymme för ytterligare forskning för att utforska de långsiktiga psykologiska effekter som individer upplever efter att ha blivit offer för cyberutpressning.

BlackMatter antyder också här att företag är legitima mål för att finansiera sitt projekt att göra internet säkrare genom att katalysera ny utveckling inom cybersäkerhet. Eftersom företag "alltid [har] möjlighet att betala pengar och återställa all [deras] data" verkar BlackMatter ha en negativ inställning till företagens förmågan att skapa rikedomar.

_{BlackMatter, förhandlingssnack 2}

I vissa förhandlingschatter, t.ex. i utdraget från BlackMatter ovan, verkar hotbildare dessutom avgöra om offren kan betala lösensumman genom att titta på offrets inkomster. De verkar inte göra någon ytterligare analys baserad på vinst. Om hotbildarna fortfarande är osäkra ber de offret om bevis för varför de inte kan betala lösensumman utifrån de insamlade intäktssiffrorna.

Dessutom verkar Harons införande av nedanstående bild på deras offerportal också ha politiska undertoner:

_{Haron, offerportal 1}

Det finns två anmärkningsvärda element i den här bilden: Guy Fawkes-masken överlagrad på den militära propagandabilden av Uncle Sam som rekryterar soldater till USA:s armé under första världskriget.

Användningen av Guy Fawkes-masken, som populariserades i V for Vendetta, anspelar på hacktivistkollektivet Anonymous. Harons införande av detta element antyder att de kanske ser sig själva som en grupp som orsakar skada för ett större (icke-deskript) gott ändamål. Samtidigt är användningen av masken utbredd i cybervärlden och kan därför utgöra en symbol för att tillhöra en specifik social grupp, vars agenda sätts över samhällsnormerna, och som därmed gör det möjligt för hotbildsaktörerna att bryta mot lagen genom att vara mer lojala mot den gruppen.

På samma sätt väcker bilden av Uncle Sam tanken på någon form av politisk handling. Det är dock mindre enkelt att dra slutsatser om funktionen utan mer information från Haron. Det skulle kunna anspela på en offentlig uppmaning till vapen för att tvinga oansvariga företag att ta informationssäkerheten på allvar, i likhet med Maze's "projekt" som diskuterades tidigare i det här inlägget och i del tre. En annan tolkning skulle också kunna vara bokstavlig, med bilden är utformad för att locka till sig nya rekryter.

Alternativt skulle bilden kunna vara riktad mot offren och åberopa symboliken av Uncle Sam som representerar USA:s federala regering. På detta sätt kan Haron försöka positionera sig som en auktoritet och kanske styra offret mot vad deras nästa omedelbara åtgärder bör vara.

På samma sätt förmedlar DarkSide-citatet som vi diskuterade tidigare i det första avsnittet också en vädjan till politiska värderingar:

No matter how bad you think our work is, we are pleased to know that we helped change someone's life. . . . Let’s make this world a better place :)

(DarkSide, Announcement 2)

DarkSide lägger in sin vädjan om altruism i en uppmaning till handling. De verkar kompensera sina ransomware med sina välgörenhetsdonationer. Deras uppmaning "Let's [dvs. låt oss] göra" är dock en direkt uppmaning till läsaren och offret att delta i processen att dela med sig av pengar till dem som är socioekonomiskt missgynnade.

I ett av deras offentliga tillkännagivanden efter den nedtagning av REvil i oktober 2021 som leddes av Förenta staternas brottsbekämpande myndigheter kombinerade Conti en vädjan till politiska värderingar med en vädjan till lojalitet mot en grupp.

_{Conti, tillkännagivande 2}

Även om de antietablissemangspolitiska övertonerna i detta manifest syns genom språket "utvisa dessa feta, förnedrade bankirer", är den gruppsolidaritet som Conti visar för REvil inte något vi observerat på andra ställen i vårt dataset.

Conti visar här en högre lojalitet mot den subkulturella hackergruppen som svar på REvil-avslaget. Även om det inte uttryckligen anges, tyder frasen "And we will be reminding you of this constantly" på att Contis framtida utpressningsattacker kommer att motiveras av det som hände med REvil, åtminstone i viss utsträckning.

Denna ingruppslojalitet är något som har dokumenterats direkt i litteraturen om neutralisering, där människor ställs inför ett dilemma: antingen är de illojala mot sin egen sociala undergrupp (t.ex. ett gäng) eller måste begå brottslig verksamhet (Sykes och Matza 1957: 669).

Dessutom definierar Steinmetz och Tunnell (2013) vädjan till högre lojaliteter som att den specifikt omfattar ingruppslojalitet mot hackersubkulturen.

Som framgår av citatet ovan är Contis uttryck för solidaritet med REvil ett instruktivt exempel på hur hotaktörernas neutraliseringar korsar varandra i flera lager. Contis ingruppstillhörighet skär genom en politisk disposition som uttryckligen tillåter att västerländska offer - i synnerhet amerikanska offer - riktas in.