ФБР опубликовало бюллетень, в котором предупреждает о резком росте атак типа джекпоттинг (jackpotting) на банкоматы в США. Только в 2025 году зафиксировано более 700 подобных инцидентов, а суммарный ущерб превысил 20 млн долларов.
По данным ведомства, с 2020 года в стране было зарегистрировано порядка 1900 атак на банкоматы с использованием малвари. При этом более 700 из них пришлись на 2025 год, демонстрируя значительный рост по сравнению с предыдущими годами.
Суть джекпоттинга сводится к следующему: злоумышленники получают физический доступ к банкомату, устанавливают на него вредоносное ПО, и малварь напрямую отдает команды модулю выдачи наличных. Обычно вся операция занимает считанные минуты, а финансовые организации и операторы банкоматов узнают о произошедшем, когда деньги уже похищены.
Главным инструментом атакующих правоохранители называют малварь Ploutus, которая существует уже более десяти лет. Вредонос активно использовался в 2017–2018 годах, после чего практически исчез из новостей и отчетов специалистов, однако, как подчеркивает ФБР, он по-прежнему широко применяется преступниками.
Ploutus эксплуатирует программный слой eXtensions for Financial Services (XFS), который отвечает за взаимодействие банкомата с физическими компонентами. При легитимной транзакции приложение банкомата отправляет в банк через XFS запрос на авторизацию. Однако если атакующий получает возможность самостоятельно отправлять команды XFS, он полностью обходит банковскую авторизацию и заставляет устройство выдавать наличные по запросу — без карты, без клиентского счета и без одобрения банка.
Для установки малвари преступники, как правило, физически вскрывают банкомат (к примеру, при помощи универсальных ключей). Затем извлекают жесткий диск, копируют на него малварь и устанавливают обратно. Порой диск и вовсе подменяют на подготовленный заранее.
Также в ФБР отметили, что Ploutus работает на банкоматах разных производителей практически без модификации кода, поскольку атаки связаны с Windows. Кроме того, малварь способна автоматически удалять свои следы, что затрудняет работу криминалистов и сотрудников банков.
В документе содержатся индикаторы компрометации и рекомендации по защите от подобных атак. В частности, правоохранители советуют финансовым организациям регулярно проводить аудит банкоматов на предмет использования неавторизованных съемных носителей и подозрительных процессов. В сочетании с проверкой целостности эталонных образов систем это должно помочь выявлять физическое вмешательство и попытки установки малвари на ранних этапах.
