Select your country

Not finding what you are looking for, select your country from our regional selector:

Search

Neutraliseringens makt: Utforskande av tekniken 'Att fördöma dem som fördömer' inom cyberutpressning - Del 4.

Utjämning av fältet: neutraliseringstekniken "att fördöma dem som fördömer"

Författare: Ivanche DimitrievskiAdam Ridley och Diana Selck-Paulsson

Det här är den fjärde delen i en serie om hur aktörer som hotar med cyberutpressning (Cy-X) och ransomware använder sig av neutraliseringstekniker för att rättfärdiga sitt skadliga beteende.

I den första delen presenterades vår forskningsansats och vi gav en mer detaljerad översikt över hur neutraliseringsteorin kan tillämpas för att bättre förstå den eller de personer som deltar i ett brott. I den andra delen tittade vi på användandet av neutraliseringstekniken "förnekande av skada" och visade hur personer som ägnar sig åt denna verksamhet har försökt omformulera och positionera sitt skadliga beteende som en "affärstjänst".

Fokus i den tredje delen låg på hur hotbildsaktörer förnekar att det finns ett offer eller försöker minska ett offers anspråk på att vara offer. Vi fann att hotbildsaktörer främst gjorde detta genom att framställa sig själva som medborgargarden eller genom att ge offret skulden för sin egen olycka.

För att rättfärdiga sina egna avvikande handlingar flyttar brottslingar ofta uppmärksamheten till motiven och beteendet hos dem som ogillar deras överträdelser. "Domare är korrupta", kan de säga. Denna process kallas för att "fördöma dem som fördömer". Det är en typ av neutraliseringsteknik, som människor som deltar i ett brott använder för att tillfälligt avstå från accepterade normer utan att äventyra samhällsmoralen (Sykes och Matza, 1957).

Giltigheten i påståenden som "domare är korrupta" är inte så viktig som deras retoriska funktion. Genom att angripa andra är det nämligen lättare att förtränga eller glömma bort det felaktiga i brottslingens eget beteende.

Av de 232 granskade akterna har vi konstaterat att denna teknik används i 31 fall i 22 dokument. Detta är en låg användning jämfört med de tidigare teknikerna att förneka skadan eller offret, som hade över 200 respektive 80 fall.

 

Figur 1: Poster i datasetet som innehåller neutralisering av "fördömande av fördömarna".

I det följande kommer vi att presentera exempel på hur människor som ägnar sig åt denna verksamhet har försökt att ompositionera sitt beteende i förhållande till beteenden som fördöms av andra som fördömer det. Vi kommer att visa på några av de diskursiva strategier som hotfulla aktörer använder för att "jämna ut" det fält där de verkar och vi kommer att överväga några viktiga konsekvenser av detta beteende.

Som i de tidigare inläggen i denna serie bör man notera att inget av citaten från hotbildsaktörer har redigerats med avseende på stavning, grammatik eller syntax.

Fördömande som kraftfull fiktion

Hotaktörernas fördömande försök riktades mot medlemmar av cybersäkerhetsbranschen, journalister, regeringar och institutioner. I en uppsättning material bestod neutraliseringen av en negativ beskrivning av dessa enheters karaktär.

Sålunda kallade Babuk journalister för "sjuka huvuden" (meddelande 1) och Conti beskrev dem som kapabla att "sälja sin egen mor för ett ben från bankirer eller politiker" (meddelande 2). Babuk kallade dessutom datasäkerhetsagenter för "smutsiga rovdjur" (meddelande om lösensumma 3) och Conti skröt om att "den nyfascistiska alliansen mellan USA:s och EU:s kleptokratier" inte kommer att stoppa dem (meddelande 3).

Hotaktörerna beskrev dessa enheter som självcentrerade, drivna av egenintressen och som inte bryr sig om människor och deras data. Till cybersäkerhetsexperter skrev Maze därför följande:

 

Istället för att göra något för att förbättra säkerheten försöker dessa så kallade säkerhetsexperter få några likes.
(Maze, pressmeddelande mars 2020)

Alla dessa är direkta försök att fördöma journalister, cybersäkerhetsexperter, regeringar och institutioner genom att negativt beskriva deras moral, arbetsmoral, ideologi och motiv.

I en annan uppsättning material innebar neutraliseringen att man gjorde negativa skildringar av dessa enheters handlingar. I nästa utdrag hävdar Egregor, Everest och Maze således att återvinningsföretag och förhandlare i hemlighet blåser upp slutpriserna under lösensummaförhandlingar för att ta en del av kakan till sig själva:

 

 Vi har fakta och bevis för att vissa återvinningsföretag i hemlighet lägger till 10-50 % på vårt pris för kunden.
(Egregor, tillkännagivande 1)

När du anlitar tredjepartsförhandlare lyssnar du på vad de säger, försök att tänka: är de verkligen intresserade av att lösa dina problem eller tänker de bara på sin vinst och sina ambitioner?
(Everest, om oss 1)

När du anlitar förhandlarna från sidan, särskilt de som arbetar för regeringen, och lyssnar på vad de säger, försök att tänka på om de verkligen är intresserade av att lösa dina problem eller om de bara tänker på sin egen vinst och ambitioner för den myndighet de tillhör.
(Maze, pressmeddelande juni 2020)

Dessa uttalanden är likt det som Van Lente och Rip (1998) kallar "kraftfulla fiktioner". De är "fiktiva" i den bemärkelsen att återhämtningsföretag och förhandlare uppenbarligen inte kan reduceras till hotbildsaktörernas negativa skildringar av dem. Samtidigt är de också "kraftfulla" i den meningen att de öppnar utrymme för hotbildsaktörernas handlingar och villkor. Genom att negativt beskriva återvinningsföretagens och förhandlarens handlingar upprätthåller ovanstående uttalanden nämligen en känsla av att dessa enheter är förklädda fiender.

Det är viktigt att uttalandena är formulerade som varningar och betonar att en viss skada kan uppstå om offren mobiliserar återvinningsföretag i förhandlingsprocessen. Det innebär att offret kanske klarar sig bättre utan dem.

Användningen av neutraliseringstaktiken "att fördöma dem som fördömer" är alltså inte bara artefakter från en kriminell föreställningsvärld. Vår analys tyder snarare på att de har potential att påverka den sociala strukturen och dynamiken i ransomware-förhandlingarna, ofta för att säkra (och i vissa fall uppnå större) betalningar från offret, vilket stämmer väl överens med hotbildsaktörernas självkarakterisering som "vinstsyftande" (se figur 2 nedan). Detta kräver i sin tur att man på allvar uppmärksammar cyberattacker som sociotekniska fenomen, snarare än bara tekniska frågor som ska förstås och lösas tekniskt.

 

Figur 2: Motivation hos hotbildsaktörer

Utpressning som vård

Vi har tidigare konstaterat att hotbildare tenderar att beskriva "fördömarna" som vinstdrivande och ointresserade av människor och deras uppgifter. Sådana påståenden har ofta riktats mot företag som är offer för cyberbrott, som i följande exempel:

Företagets ledning bryr sig inte om företagets framtid. Den bryr sig inte om uppgifterna och affärspartnerna.
(Maze, pressmeddelande april 2020)

Dessa och liknande påståenden diskuterades mer ingående i föregående artikel, där vi fokuserade på "offrets förnekande". I citatet ovan från Maze förnekas inte företagets offerroll, utan orsaken till dess olycka tillskrivs snarare företagets ledning.

Uttalanden som detta kan dock också läsas som indirekta fördömanden av det bredare system som gör det möjligt för företag (eller deras ledning) att "inte bry sig" om affärspartner, människor i allmänhet och deras uppgifter. I följande utdrag tar Maze uttryckligen upp detta system:

Världen är ett stort datasystem. Men de som borde se till att systemet är säkert är oansvariga. I stället för att göra sitt arbete föredrar de att chatta i sociala medier eller titta på porr. Å andra sidan bryr sig de som har skapat detta system och tjänar miljarder med hjälp av det inte om informationssäkerheten eller integritetsfrågorna. Det enda de bryr sig om är att undvika stämningar och böter för att ha förlorat informationen.
(Maze, pressmeddelande mars 2020)

I citatet ovan beskriver Maze "systemet" som korrupt, fundamentalt bristfälligt och därför i behov av att åtgärdas. I följande citat intar Cl0p positionen som "fixare".

Detta är ett exempel på ett korrupt företag som manipulerar marknaden och stjäl kunskap och pengar från andra företag och kunder. Cl0p åtgärdar allt detta och vi får dåliga företag att betala för sina brott även om den korrupta regeringen inte gör någonting.
(Cl0p, Leak Page 2)

Enligt Woolgar (2005) kan vi se dessa uttalanden som ett "moraliskt universum" som beskriver det ansvar och de förväntningar som är förknippade med de enheter som befolkar det. I uttalandet ovan framställs Cl0p till exempel som en omtänksam grupp som avslöjar och visar företagens och regeringarnas "sanna natur" och tvingar dem att göra bättre ifrån sig för människor.

Vi ser här att man använder sig av "samhällskritik" för att omplacera hotet från en brottsling till en bestraffare. Uttalandet gör det möjligt att läsa det som händer med företaget, inte som en våldshandling mot en oskyldig enhet, utan snarare som ett exempel på att de får vad de förtjänar.

Hotaktörerna positionerar sig själva som moraliska aktörer som agerar på "folkets" vägnar och omformar på så sätt sitt beteende till ett slags kallelse. Med andra ord, genom de uttalanden som tas upp i det här avsnittet, externaliserar hotaktörerna orsaken till den kriminella handlingen, så att det inte längre handlar om ekonomiska motiv, till exempel, utan snarare om att reagera på ett högre mål.

I dessa fall är "fördömandet av de som fördömer" ett eko av en annan neutraliseringsteknik som beskrivs av Sykes och Matza, "att vädja till högre lojaliteter", vilket vi återkommer till i nästa artikel.

Utjämning av fältet

Vi har visat att neutralisering genom att "fördöma dem som fördömer" innebär en omformning av relationerna mellan aktörerna i cyberbrottsligheten. Detta inbegriper också försök att omarbeta de upplevda avstånden mellan hotaktören och andra enheter i detta landskap.

MountLocker jämförde sig således med advokater - "skrupellösa och manipulerar systemet för egen vinning" (MountLocker, intervju 1). Jämförelsen minskar det förmodade avståndet mellan dessa två aktörer genom att göra dem till exempel till exempel till samma kategori, dvs. "skrupelfria manipulatörer av systemet".

I följande intervjuutdrag hävdar Babuk dessutom att forskare inom cybersäkerhet har bidragit till att förbättra malware genom att identifiera och avslöja sårbarheter i deras malware:

Vi vill tacka alla forskare för deras hjälp med att hitta sårbarheten i vår produkt. Ett särskilt tack till Chuong Dong för att han förbättrade vår kryptering och till Emsisoft för att han hjälpte oss att förbättra vår dekrypterare.
(Babuk, intervju 2)

DarkSide gör ett liknande påstående om BitDefender:

Ett särskilt tack till BitDefender för att ni påpekade våra brister. Detta kommer att göra oss ännu bättre. Nu kommer du aldrig att kunna tyda oss.
(DarkSide, foruminlägg 1)

I dessa fall blir forskare och BitDefender, som står utanför den brottsliga verksamheten, retoriskt sett interna i den. Genom uttalandena görs dessa enheter och hotbildsaktörerna medskyldiga, som medarbetare, i de handlingar som orsakade offrens olycka. Genom att håna forskare och BitDefender på detta sätt bidrar dessa uttalanden till att upprätthålla den bild som hotbildsaktörerna ger av sig själva som "ostoppbara".

Från vår analys ovan kan vi se att neutralisering genom att "fördöma dem som fördömer" endast i vissa fall har den tydliga retoriska effekten att "rättfärdiga" hotbildsaktörerna och deras handlingar. För det mesta resulterar användningen av denna neutraliseringsteknik i den retoriska effekten att "utjämna fältet" mellan hotbildarna och de som fördömer dem.

Mer allmänt kan alltså "fördömandet av dem som fördömer" karakteriseras som en balansakt där den antagna auktoriteten över fakta, berättelser och tolkningar av dem utmanas. Genom att till exempel beskriva journalister som "partiska" ifrågasätts fakticiteten i deras påståenden. Genom att framställa regeringar eller cybersäkerhetsexperter som korrumperade ifrågasätts också deras auktoritet att besluta/handla om vad som är rätt och vad som är fel.

I huvudsak säger hotbildsaktörerna på detta sätt att enheter som regeringar, journalister och så vidare inte kan döma dem eftersom dessa enheter inte är fundamentalt annorlunda än de själva. Hotaktörerna föreslår därmed att det inte finns någon grund för att betrakta journalisters och regeringars påståenden som "sanningen" eller att förlita sig på dessa enheter som representanter för rättvisan.

Slutsats

Vi har tittat på hotbildsaktörernas diskurs genom att använda oss av neutraliseringstekniken "fördöma dem som fördömer". Vår analys visar att hotbildsaktörerna omformulerar sin verksamhet som "jämförbar" och i vissa avseenden mer "etisk" än verksamheten och beteendena hos dem som fördömer dem, däribland regeringar och institutioner, journalister och medlemmar av cybersäkerhetsbranschen.

Det skulle naturligtvis vara naivt att lättvindigt acceptera dessa premisser. Men som Sykes och Matza skriver är deras giltighet inte så viktig utan snarare deras retoriska funktion. Sådana skildringar av det utvidgade cybersäkerhetslandskapet försvårar åtminstone dataåtervinning och förhandling genom att de väcker tvivel om de berörda enheterna.

I denna mening handlar "fördömandet av dem som fördömer" inte bara om självrättfärdigande och ursäktande av kriminellt beteende utan är en integrerad del av cyberattacker (i vidare bemärkelse) som sociotekniska fenomen. Här har vi skrapat på ytan av dessa fenomen genom att identifiera några av deras retoriska mekanismer och effekter.

Samtidigt kvarstår frågor. Är dessa fördömanden bara reaktioner, eller återspeglar de gemensamma värderingar och övertygelser i grupper av hotaktörer? Hur är dessa fördömanden kopplade till hotbildsaktörernas val av potentiella offer och typer av attacker? På vilket sätt och i vilken utsträckning påverkar "fördömandet av de som fördömer" förloppet och resultatet av förhandlingar om lösensummor? Det är viktigt att förstå dessa frågor om vi ska kunna utforma bättre sätt att hantera cyberkriminella.

I nästa avsnitt kommer vi att ta upp den teknik som kallas "vädja till högre lojaliteter". Detta innebär att personer som deltar i brottslig verksamhet kan rättfärdiga sina handlingar genom att hävda att de upprätthåller ett annat värde (t.ex. familjens ekonomiska behov) framför behovet av att följa lagen.

 

Reference List

Sykes, G M and D Matza (1957), ‘Techniques of neutralization: A theory of delinquency’, American Sociological Review, vol 22, no 6, pp 664-670.

Van Lente, H and A Rip (1998), ‘Expectations in technological developments: An example of prospective structures to be filled in by agency’, in C Disco and B J R van der Meulen (eds), Getting New Technologies Together, Walter de Gruyter, Berlin, New York, pp 195-220.

Woolgar, S (2005), ‘Mobile Back to Front: Uncertainty and Danger in the Theory-Technology Relation’, in R Ling and P E Pedersen (eds), Mobile Communications: Re-Negotiation of the Social Sphere, Springer-Verlag, London, pp 23-44.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.