Az FBI figyelmeztet a növekvő malware-alapú ATM "jackpoting" támadásokra

Az FBI kiadott egy IC3 FLASH tanácsot február 19-én 2026, amelyben a rosszindulatú szoftverekkel támogatott ATM-"jackpot" incidensek növekedésére figyelmeztet az Egyesült Államokban. Az iroda szerint a riasztás célja, hogy a technikai részleteket és a kompromittálódás indikátorait (IOC) terjessze, hogy a bankok, ATM-üzemeltetők és szolgáltatók megkeményíthessék a gépeket és korábban észrevegyék a kompromittálódásokat.

A skála nem triviális. Az FBI szerint a 2020 óta jelentett 1900 jackpotos incidensből több mint 700, több mint 20 millió dolláros veszteséggel csak 2025-ben történt.

Mit jelent az "ATM jackpoting" ebben a tanácsadásban

A jackpotolás során a bűnözőknek nem kell kártyaadatokat ellopniuk vagy ügyfélszámlákat üríteniük. Ehelyett magát az ATM-et veszik célba, és rosszindulatú szoftverekkel arra kényszerítik a gépet, hogy jogos tranzakció nélkül készpénzt adjon ki. Az FBI ezeket az eseményeket gyors "készpénzfelvételi" műveleteknek nevezi, amelyeket csak akkor vesznek észre, amikor a pénz már eltűnt.

A Ploutus és az XFS szerepe

A tanácsadás rámutat a jackpotoló kártevőkre, köztük a Ploutus családra. Az FBI szerint a Ploutus célpontja az eXtensions for Financial Services (XFS)... az a szoftverréteg, amely megmondja az ATM hardverének, hogy milyen műveleteket hajtson végre. Normál esetben az ATM-alkalmazás egy banki engedélyt igénylő tranzakció részeként parancsokat küld az XFS-en keresztül. Ha egy támadó saját parancsokat tud kiadni az XFS-nek, az FBI szerint teljesen megkerülheti az engedélyezést, és utasíthatja az ATM-et, hogy igény szerint készpénzt adjon ki.

Gyakori fertőzési útvonalak: a fizikai hozzáférés az első

Az FBI írása hangsúlyozza, hogy sok támadás fizikai hozzáféréssel kezdődik, gyakran egy ATM-arc megnyitásával, széles körben elérhető általános kulcsok használatával. Ezután az FBI felsorolja a gyakori telepítési módszereket, beleértve a merevlemez eltávolítását, a rosszindulatú szoftver másolását egy másik számítógép segítségével, újratelepítését és az ATM újraindítását, vagy a meghajtó cseréjét egy "idegen" meghajtóra vagy egy rosszindulatú szoftverrel előzetesen feltöltött külső eszközre, mielőtt újraindítanák.

Miért vannak a Windows-alapú ATM-ek hatókörében

Az FBI szerint a rosszindulatú szoftver viszonylag kis kiigazítással különböző ATM-gyártóknál is használható, mivel a kompromittálás az érintett ATM-ek Windows operációs rendszerét használja ki. A leírás szerint a rosszindulatú szoftver közvetlenül az ATM hardverével lép kapcsolatba, és készpénzt ad ki anélkül, hogy hozzáférést igényelne a banki ügyfélszámlához.

Az FBI szerint az IOC-ket a védőknek a következőkre kell keresniük

A tanácsadás felsorol egy sor digitális jelzőt, amelyeket az érintett Windows operációs rendszert futtató ATM-eken figyeltek meg, köztük olyan gyanús futtatható fájlokat, mint a Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, valamint a kapcsolódó fájlokat/szkripteket, mint a C.dat és Restaurar.bat, és újonnan létrehozott könyvtárakat. Több MD5-ös hash-t is tartalmaz, amelyek a megfigyelt leletekhez kapcsolódnak.

A fájlleleteken túl az FBI jelzi a távoli hozzáférési eszközökkel való lehetséges visszaéléseket (például a TeamViewer/AnyDesk nem engedélyezett használatát), és szokatlan fennmaradást keres a Windows rendszerleíró adatbázis/szolgáltatási helyek alatti rendellenes automatikus indításokon és egyéni szolgáltatásokon keresztül.

Fizikai/naplóindikátorok, amelyek felfedhetik a tárolást

Mivel a jackpotolás gyakran magában foglalja a helyszíni manipulációt, az FBI a "fizikai interakciós mutatókat" is kiemeli, beleértve az USB-behelyezési eseményeket és a csatlakoztatott eszközök, például USB-billentyűzetek, USB-hubok és pendrive-ok észlelését. Az operatív jelzések közé tartoznak a karbantartási ablakokon kívüli ATM-ajtónyitási riasztások, a váratlan alacsony/nem készpénz állapotok, az illetéktelen eszközök csatlakoztatása és a merevlemez eltávolítása.

Iránymutatás a kárenyhítéshez: "aranyképek", cserélhető adathordozók ellenőrzése és többszintű fizikai ellenőrzés

Az egyik leginkább megvalósítható rész az FBI által az alapértelmezésre és az integritásra helyezett hangsúly: azt ajánlja, hogy az ATM-fájlokat/hasheseket egy ellenőrzött "aranykép" alapján validálják, és az eltéréseket, különösen az aláírás nélküli vagy újonnan bevezetett bináris programokat, potenciális veszélyeztetésként kezeljék.

Az FBI emellett célzott ellenőrzési politikát javasol a cserélhető tárolók használatára, az ellenőrzött fájlhozzáférésre és a folyamatok létrehozására vonatkozóan, hogy felderítsék a hálózati felügyeletet kijátszó előkészítő tevékenységeket.

A fizikai oldalon az FBI tanácsai egyszerűek: nehezebbé kell tenni a gépbe való bejutást és könnyebbé a manipuláció kiszűrését. Ez magában foglalja a zárak korszerűsítését, hogy az általános kulcsok ne működjenek, a szervizpanelek riasztóberendezéssel való felszerelését, a szokatlan mozgást vagy hőt érzékelő szenzorok használatát, a pénztárgéphez való hozzáférés korlátozását, valamint annak biztosítását, hogy a kamerák megfelelően lefedjék az ATM-et, és a felvételek elég hosszú ideig megmaradjanak ahhoz, hogy hasznosak legyenek.

Megemlíti továbbá az olyan keményítési lépéseket, mint az eszközfehérlistázás az illetéktelen hardverkapcsolatok blokkolása érdekében, a firmware integritásának ellenőrzése (beleértve a TPM-alapú integritásellenőrzést a rendszerindításkor), valamint a lemez titkosítása, hogy csökkentsék annak esélyét, hogy a rosszindulatú szoftverek a gépen kívüli meghajtó eltávolításával és módosításával kerüljenek be.

Mit kér az FBI a szervezetektől, hogy jelentsenek

Az incidensek jelentésére a FBI a következőket ösztönzi a szervezeteket, hogy lépjenek kapcsolatba a helyi FBI-küldöttséggel, vagy az IC3-on keresztül nyújtsák be, és olyan gyakorlati részleteket kér, mint a bank/fiók azonosítója, az ATM gyártmánya/modellje, a szállítói információk és a rendelkezésre álló naplózás.