浙江杭州市上城区人民法院近日一审宣判了一起特殊的敲诈勒索案件,四名被告分别以犯敲诈勒索罪、侵犯公民个人信息罪被判处有期徒刑。
事件起因为:2023年底,杭州一家“老字号”医疗机构的技术部负责人陆续接到各个科室的来电,反映系统无法正常登录。技术人员进入操作页面后发现,所有系统文件的后缀名都变成了“.uncle”。
经过排查,后台管理系统中一个名为readme.html的文件引起了他们的注意。点开一看,文件中赫然写着:“Important Notice!Your Files Have Been Locked!”(“注意!你们的文件已经被锁定!”)。随后,技术人员又在文件中找到了“Payment Method”(支付方式)“Wallet Address”(钱包地址)等内容。
经过核实,公司共计89台服务器无法运行,包括电子病历、批发连锁在内的业务系统彻底陷入瘫痪。为尽快恢复线上挂号等业务,最大程度保障患者不延误诊疗,该医疗机构无奈答应了对方支付数字加密货币作为“解锁赎金”的要求。
在这家机构报案之后,杭州警方又发现了两家被该团伙敲诈勒索的企业。经统计,三家被害企业为恢复正常经营,共计花费33万余元向第三方购买数字加密货币支付给了对方。
杭州市上城区公安分局网警大队民警介绍,嫌疑人在短时间内集中进行了大量技术操作,且反侦查意识很强,设立了多个“跳板”服务器,IP地址涉及境内外多处地点。从种种迹象看,该起案件大概率是组织严密、分工明确的团伙作案。通过技术手段追踪侦查,公安机关逐步锁定了涉案人员的真实身份。2023年12月,以祁某某为首的四人犯罪团伙在内蒙古呼和浩特、北京等地被相继抓获归案。
四人到案后,承认了利用木马病毒开展敲诈勒索的犯罪事实,案件真相逐渐浮出水面。
原来,祁某某、韩某某、李某某三人原是北京某科技有限公司负责网络安全维护的工程师,而郝某某是和祁某某、韩某某熟识的好友,也从事网络安防工作。由于熟悉网络安全的“门道”,祁某某、郝某某、韩某某开始谋划利用技术赚点“快钱”。一开始,他们盯上了贩卖公民信息的生意:2023年4月至7月,祁某某等人通过服务器漏洞对系统数据进行非法爬取,共获取包含收货人、收货地址、电话等信息累计6万余条,通过非法贩卖,共获利人民币20余万元。但这类数据在“黑市”上的价格逐渐走低,他们决定换一条“赛道”,用病毒搞敲诈勒索。
为了提升效率,祁某某、韩某某等人在呼和浩特市的出租房内开设了“勒索工作室”。四名成员分工明确:祁某某、韩某某事先编写好勒索代码并进行测试,郝某某、李某某对有漏洞的企业服务器进行收集并添加漏洞“后门”,随后由祁某某、韩某某从“后门”进入网站,上传定时执行加密任务的木马病毒进行勒索。承办检察官表示,这几人在从事网安工作的时候,就时常关注技术论坛中发布的服务器共性漏洞,在网上寻找可以攻破的堡垒机。“为了提升网络攻击效果,他们还利用人工智能技术辅助修改病毒程序代码。”就这样,在短短一周不到的时间内,该团伙陆续作案三起,对被害企业造成损失。
2024年9月11日,上城区人民检察院分别以敲诈勒索罪和侵犯公民个人信息罪对祁某某等四人依法提起公诉。2025年3月,该案件在上城区人民法院开庭审理。近日,四名被告人被一审判处有期徒刑三年至七年六个月不等,并处罚金。目前该判决已生效。四名被告在一审宣判后,均表示服从判决结果不上诉。
承办检察官表示,近年来,人工智能技术的发展进一步降低了攻击门槛,导致针对企业服务器,尤其是网安能力薄弱的中小民营企业的黑客攻击勒索发案频率有所提升,加大了案件侦办难度。
网络安防专家建议,面对网络勒索,企业除了事发后要及时固定证据报警,平时要定期做好“冷备份”,即平均每7天对所有服务器数据做一次线下备份。一旦发生勒索攻击,至少可以将系统恢复到7天以内的数据,不至于陷入完全瘫痪;此外还可以选用“专用设备+安全保险”服务模式,部署一套防勒索检测设备的同时,加入一份安全保险,对因为黑客勒索造成的损失获得有效赔付。(新华社)