FBI ostrzega przed rosnącą liczbą ataków na bankomaty z wykorzystaniem złośliwego oprogramowania

FBI opublikowało IC3 FLASH advisory w dniu 19 lutego 2026 r., ostrzegając o wzroście liczby incydentów związanych z "jackpotowaniem" bankomatów ze złośliwym oprogramowaniem w Stanach Zjednoczonych. Biuro twierdzi, że ostrzeżenie ma na celu rozpowszechnianie szczegółów technicznych i wskaźników kompromitacji (IOC), aby banki, operatorzy bankomatów i dostawcy usług mogli wzmocnić maszyny i wcześniej wykryć zagrożenia.

Skala nie jest trywialna. FBI twierdzi, że z 1900 incydentów związanych z jackpottingiem zgłoszonych od 2020 roku, ponad 700, z ponad 20 milionami dolarów strat, miało miejsce tylko w 2025 roku.

Czym jest "jackpotting bankomatowy" w tym poradniku

W przypadku jackpottingu przestępcy nie muszą kraść danych kart ani drenować kont klientów. Zamiast tego celują w sam bankomat, wykorzystując złośliwe oprogramowanie, aby zmusić maszynę do wypłacenia gotówki bez legalnej transakcji. FBI określa te zdarzenia jako szybkie operacje "cash-out", które mogą zostać zauważone dopiero po tym, jak pieniądze już znikną.

Ploutus i rola XFS

W poradniku https://www.ic3.gov/CSA/2026/260219.pdf wskazuje na złośliwe oprogramowanie typu jackpot, w tym rodzinę Ploutus. FBI twierdzi, że Ploutus celuje w eXtensions for Financial Services (XFS)... warstwę oprogramowania, która mówi sprzętowi bankomatu, jakie działania należy wykonać. W normalnym przepływie aplikacja bankomatu wysyła polecenia przez XFS w ramach transakcji wymagającej autoryzacji banku. Jeśli atakujący może wydawać własne polecenia do XFS, FBI twierdzi, że może całkowicie ominąć autoryzację i poinstruować bankomat, aby wydawał gotówkę na żądanie.

Typowe ścieżki infekcji: fizyczny dostęp na pierwszym miejscu

FBI podkreśla, że wiele ataków rozpoczyna się od fizycznego dostępu, często poprzez otwarcie twarzy bankomatu przy użyciu powszechnie dostępnych kluczy generycznych. Następnie FBI wymienia typowe metody wdrażania, w tym usunięcie dysku twardego, skopiowanie na niego złośliwego oprogramowania za pomocą innego komputera, ponowne zainstalowanie go i ponowne uruchomienie bankomatu lub zamianę dysku na "obcy" dysk lub urządzenie zewnętrzne wstępnie załadowane złośliwym oprogramowaniem przed ponownym uruchomieniem.

Dlaczego bankomaty z systemem Windows są zagrożone

FBI twierdzi, że złośliwe oprogramowanie może być używane przez różnych producentów bankomatów przy stosunkowo niewielkim dostosowaniu, ponieważ kompromis wykorzystuje system operacyjny Windows w dotkniętych bankomatach. Złośliwe oprogramowanie jest opisywane jako wchodzące w bezpośrednią interakcję ze sprzętem bankomatu i wydające gotówkę bez konieczności dostępu do konta klienta banku.

IOC, FBI mówi, że obrońcy powinni szukać

W poradniku wymieniono szereg cyfrowych wskaźników zaobserwowanych na dotkniętych bankomatach z systemem Windowsw tym podejrzane pliki wykonywalne, takie jak Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, a także powiązane pliki/skrypty, takie jak C.dat i Restaurar.bat, oraz nowo utworzone katalogi. Zawiera również wiele skrótów MD5 powiązanych z obserwowanymi artefaktami.

Oprócz artefaktów plików, FBI flaguje potencjalne nadużycia narzędzi zdalnego dostępu (na przykład nieautoryzowany TeamViewer/AnyDesk) i szuka nietypowej trwałości poprzez nieprawidłowe automatyczne uruchamianie i niestandardowe usługi w rejestrze / lokalizacjach usług systemu Windows.

Wskaźniki fizyczne/logów, które mogą ujawnić staging

Ponieważ jackpotting często wiąże się z manipulacją na miejscu, FBI zwraca również uwagę na "fizyczne wskaźniki interakcji", w tym zdarzenia związane z wkładaniem USB i wykrywaniem podłączonych urządzeń, takich jak klawiatury USB, koncentratory USB i dyski flash. Operacyjne sygnały ostrzegawcze obejmują alerty o otwarciu drzwi bankomatu poza oknami konserwacyjnymi, nieoczekiwane stany niskiego/braku gotówki, podłączone nieautoryzowane urządzenia i usunięcie dysku twardego.

Wskazówki łagodzące: "złote obrazy", audyt nośników wymiennych i wielowarstwowa kontrola fizyczna

Jedną z najbardziej praktycznych sekcji jest nacisk FBI na baselining i integralność: zaleca się sprawdzanie poprawności plików / hashy ATM w stosunku do kontrolowanego "złotego obrazu" i traktowanie odchyleń, zwłaszcza niepodpisanych lub nowo wprowadzonych plików binarnych, jako potencjalnego kompromisu.

FBI zaleca również ukierunkowaną politykę audytu w zakresie korzystania z wymiennej pamięci masowej, kontrolowanego dostępu do plików i tworzenia procesów w celu wykrycia działań etapowych, które mogą ominąć monitorowanie sieci.

Jeśli chodzi o stronę fizyczną, rada FBI jest prosta: utrudnić dostanie się do maszyny i ułatwić wykrycie manipulacji. Obejmuje to modernizację zamków, aby zwykłe klucze nie działały, dodanie alarmów do paneli serwisowych, użycie czujników do wykrywania nietypowego ruchu lub ciepła, ograniczenie dostępu do skrzynki na gotówkę i zapewnienie, że kamery odpowiednio obejmują bankomat, a nagrania są przechowywane wystarczająco długo, aby były przydatne.

Wspomniano również o krokach utwardzania, takich jak biała lista urządzeń w celu blokowania nieautoryzowanych połączeń sprzętowych, kontrole integralności oprogramowania układowego (w tym kontrole integralności oparte na TPM podczas rozruchu) oraz szyfrowanie dysku w celu zmniejszenia szansy na wprowadzenie złośliwego oprogramowania poprzez usunięcie i modyfikację dysku poza maszyną.

FBI prosi organizacje o zgłaszanie incydentów

W celu zgłaszania incydentów, FBI zachęca organizacje do skontaktowania się z lokalnym biurem terenowym FBI lub przesłania zgłoszenia za pośrednictwem IC3 i prosi o podanie praktycznych szczegółów, takich jak identyfikatory banku/oddziału, marka/model bankomatu, informacje o dostawcy i dostępne logowanie.