FBI: ponad 20 mln USD strat przez falę ataków „ATM jackpotting” z użyciem malware (2025) - Security Bez Tabu

FBI: ponad 20 mln USD strat przez falę ataków „ATM jackpotting” z użyciem malware (2025)

Wprowadzenie do problemu / definicja luki

„ATM jackpotting” to cyber-fizyczny scenariusz ataku na bankomat, w którym przestępcy wymuszają wypłatę gotówki bez autoryzowanej transakcji. W przeciwieństwie do skimmingu czy przechwytywania PIN-ów, celem nie są dane klientów, tylko sam bankomat i jego warstwa sterowania.

W lutym 2026 FBI opublikowało alert (FLASH), w którym opisuje gwałtowny wzrost incydentów „malware-enabled jackpotting” w USA: ponad 700 zdarzeń w 2025 r. i ponad 20 mln USD strat.

W skrócie

  • FBI śledzi ok. 1 900 incydentów jackpotting od 2020 r., z czego >700 przypadło na 2025 r.
  • W atakach ma być wykorzystywana m.in. rodzina malware Ploutus, która umożliwia wydawanie poleceń modułowi wypłat przez warstwę XFS (eXtensions for Financial Services), omijając autoryzację bankową.
  • Wejście w kompromitację zwykle wymaga fizycznego dostępu do bankomatu (np. użycie powszechnie dostępnych „generycznych” kluczy), a następnie podmiany/nośnika lub manipulacji dyskiem.
  • FBI publikuje przykładowe IOC (nazwy plików, hashe) i wskazuje konkretne zdarzenia Windows przydatne w detekcji (m.in. 6416, 4663, 4688, 1102).

Kontekst / historia / powiązania

Jackpotting nie jest nową koncepcją — badacze demonstrowali ją publicznie już ponad dekadę temu. Różnica polega na tym, że to, co kiedyś bywało „showcase’em” podatności i złych praktyk wdrożeniowych, dziś jest powtarzalnym modelem przestępczym: szybkie wejście, szybka wypłata, szybkie wyjście. TechCrunch podkreśla, że ataki „wyszły” z obszaru demonstracji badawczych do realnej, masowej przestępczości, a FBI wiąże skalę z rosnącą liczbą incydentów w ostatnich latach.

Analiza techniczna / szczegóły luki

1) Co dokładnie omija Ploutus/XFS?

Z perspektywy architektury bankomatu: aplikacja ATM zwykle wysyła żądania (np. „dispense cash”) do warstwy pośredniej XFS, a następnie — w normalnym trybie — następuje autoryzacja po stronie banku, zanim gotówka zostanie wydana. FBI opisuje, że jeśli napastnik uzyska możliwość wydawania własnych komend do XFS, może pominąć autoryzację i wymusić wypłatę „na żądanie”.

2) Typowe drogi infekcji (wąskie gardło: fizyczny dostęp)

Według alertu FBI, najczęściej scenariusz zaczyna się od otwarcia frontu bankomatu (np. generyczne klucze), a potem:

  • wyjęcie dysku, podłączenie do komputera napastnika, skopiowanie malware i ponowne zamontowanie dysku w bankomacie, lub
  • podmiana dysku na przygotowany wcześniej nośnik z malware i restart urządzenia.

FBI zaznacza też, że malware wchodzi w interakcję bezpośrednio ze sprzętem bankomatu, omijając część mechanizmów oryginalnego oprogramowania.

3) IOC i ślady systemowe (Windows)

W FLASH pojawiają się przykładowe wskaźniki kompromitacji na zainfekowanych bankomatach Windows, m.in. nietypowe pliki wykonywalne takie jak: Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe oraz lista zidentyfikowanych hashy MD5.

Z punktu widzenia telemetrii i wykrywania FBI wskazuje m.in.:

  • zdarzenia związane z nośnikami USB i audytem: 6416 (wykrycie nowego zewnętrznego urządzenia), 4663 (dostęp/modyfikacja obiektu przy odpowiednim audycie), oraz 4688 (tworzenie procesu — szczególnie wartościowe po włączeniu logowania linii poleceń),
  • 1102 jako sygnał czyszczenia logów (istotne w kontekście zacierania śladów).

Praktyczne konsekwencje / ryzyko

  1. Straty finansowe i operacyjne
    To atak na instytucję/operującego bankomatami: gotówka znika natychmiast, często zanim systemy centralne „zorientują się”, że urządzenie zachowuje się nietypowo. FBI podkreśla, że ataki mogą zająć minuty i bywają wykrywane dopiero po fakcie.
  2. Ryzyko reputacyjne
    Nawet jeśli dane klientów nie zostały przejęte, narracja „bankomaty wypłacają gotówkę na zawołanie” wpływa na zaufanie do sieci urządzeń i standardów ochrony.
  3. Ryzyko eskalacji do zdalnego dostępu
    FBI zwraca uwagę na obecność/wykorzystanie narzędzi zdalnego dostępu (np. AnyDesk/TeamViewer) jako potencjalny element układanki, jeśli jest nieautoryzowany.

Rekomendacje operacyjne / co zrobić teraz

Poniżej praktyczny „checklist” inspirowany zaleceniami FBI — szczególnie użyteczny dla banków, operatorów sieci ATM i firm serwisowych.

1) Zabezpieczenia fizyczne (najważniejszy kontrolny punkt)

  • wymiana standardowych zamków (ograniczenie skuteczności generycznych kluczy),
  • czujniki (wibracja/temperatura) i alarmy otwarcia klap serwisowych,
  • dodatkowe bariery do krytycznych elementów (cashbox, dostęp serwisowy),
  • monitoring wizyjny i retencja nagrań.

2) „Gold image” i walidacja integralności

FBI mocno akcentuje praktykę utrzymywania kontrolowanego, zweryfikowanego obrazu („gold image”) oraz ciągłą walidację hashy plików wykonywalnych/bibliotek/konfiguracji. Odchylenia (nowe, niepodpisane binaria) traktuj jako potencjalną kompromitację — to pomaga wykrywać ataki, które omijają monitoring sieciowy, bo artefakty są wprowadzane lokalnie.

3) Twarde polityki dla nośników i urządzeń

  • audyt użycia pamięci wymiennych i zdarzeń USB,
  • whitelisting urządzeń (blokada nieautoryzowanych dysków/telefonów),
  • (gdzie możliwe) szyfrowanie dysku oraz kontrole integralności firmware/boot.

4) Telemetria, EDR i reguły detekcji pod jackpotting

  • włącz i zbieraj: 6416 / 4663 / 4688 / 1102 oraz koreluj je w sekwencje (np. „USB inserted → malware copied → malware executed → logs cleared”),
  • wykrywaj nieoczekiwane procesy i pliki (IOC z alertu) oraz nietypowe wpisy autostartu/usług,
  • centralizuj logi i wydłuż retencję (żeby utrudnić „przeczekanie” incydentu).

5) Gotowość operacyjna i współpraca

  • uporządkuj harmonogram serwisów i dostępów (łatwiej wyłapać anomalie),
  • przeszkol personel ochrony/serwisu w rozpoznawaniu symptomów (otwarcia poza oknem serwisowym, obce urządzenia, bankomat „out of service” bez powodu),
  • raportuj incydenty zgodnie z kanałami FBI/IC3 i zbieraj komplet danych o urządzeniu oraz logach.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Jackpotting vs skimming: skimming celuje w dane kart/PIN i oszustwa transakcyjne; jackpotting celuje w mechanizm wydawania gotówki i zwykle nie wymaga danych klientów.
  • Atak sieciowy vs cyber-fizyczny: tu często kluczowe jest naruszenie fizyczne (otwarcie obudowy, dostęp do dysku/portów). Dlatego klasyczne zabezpieczenia IT (firewalle, segmentacja) są potrzebne, ale niewystarczające bez twardych kontroli fizycznych i integralności obrazu.

Podsumowanie / kluczowe wnioski

  • Skala incydentów rośnie: >700 zdarzeń w 2025 r. i >20 mln USD strat według FBI.
  • Technicznie rdzeniem problemu jest możliwość wydawania poleceń do XFS, co pozwala ominąć autoryzację i sterować wypłatą gotówki.
  • Obrona to miks „security engineering” i ochrony fizycznej: zamki/czujniki/monitoring + gold image + audyt USB/logów + whitelisting.

Źródła / bibliografia

  1. FBI / IC3 – Increase in Malware-Enabled ATM Jackpotting Incidents Across United States (FLASH-20260219-001) (Federal Bureau of Investigation)
  2. BleepingComputer – FBI: Over $20 million stolen in surge of ATM malware attacks in 2025 (BleepingComputer)
  3. TechCrunch – FBI says ATM ‘jackpotting’ attacks are on the rise… (TechCrunch)
  4. SecurityWeek – FBI: $20 Million Losses Caused by 700 ATM Jackpotting Attacks in 2025 (SecurityWeek)
  5. SC Media – FBI provides ATM jackpotting prevention guidance after $20M stolen… (scworld.com)