U.S. DOJ stawia zarzuty 54 osobom za „ATM jackpotting” z użyciem malware Ploutus – jak działał schemat i jak się przed nim bronić

securitybeztabu.pl 10 godzin temu

Wprowadzenie do problemu / definicja luki

ATM jackpotting (czasem opisywany też jako logical attack na bankomat) to klasa ataków, w których sprawcy przejmują kontrolę nad modułem wypłaty gotówki i wymuszają wydawanie banknotów bez autoryzowanej transakcji. najważniejsze jest to, iż w wielu scenariuszach nie chodzi o kradzież danych kart, tylko o „wysterowanie” Cash Dispensing Module (CDM) tak, by bankomat „wyrzucił” gotówkę.

W grudniu 2025 r. amerykański Departament Sprawiedliwości (DOJ) poinformował o dwóch aktach oskarżenia obejmujących łącznie 54 osoby oskarżane o udział w spisku, którego technicznym filarem miał być wariant malware Ploutus instalowany na bankomatach w USA.

W skrócie

  • W USA (Dystrykt Nebraski) ława przysięgłych zwróciła dwa akty oskarżenia obejmujące łącznie 54 osoby w sprawie szeroko zakrojonego „ATM jackpotting”.
  • Jeden akt (z 9 grudnia 2025) dotyczy 22 osób i obejmuje m.in. zarzuty spisku ws. oszustw bankowych, włamań/kradzieży z banków, nadużyć komputerowych, prania pieniędzy oraz – w tej sprawie szczególnie głośne – wątek „material support to terrorists”.
  • Drugi, powiązany akt (z 21 października 2025) dotyczy 32 osób i opisuje m.in. 56 zarzutów, w tym: spisek, oszustwa bankowe, włamania do bankomatów oraz „damage to computers”.
  • Według prokuratury, modus operandi obejmował rekonesans, fizyczne otwieranie obudowy bankomatu, a następnie instalację Ploutusa przez podmianę dysku lub użycie urządzenia zewnętrznego/pendrive’a, po czym malware wydawał komendy do CDM i potrafił usuwać ślady.
  • The Hacker News (powołując się na dane organów USA) podaje skalę: 1 529 incydentów jackpotting w USA od 2021 r. i ok. 40,73 mln USD strat (stan na sierpień 2025).

Kontekst / historia / powiązania

W komunikacie DOJ sprawa została powiązana z wenezuelską transnarodową organizacją przestępczą Tren de Aragua (TdA). Prokuratura twierdzi, iż dochody z jackpottingu były transferowane pomiędzy członkami i współpracownikami w celu ukrycia pochodzenia środków.

Wątek „ATM jackpotting” nie jest nowy. Ploutus (rodzina malware na bankomaty) był obserwowany już od lat 2010. i wiązano go z kampaniami wymagającymi fizycznego dostępu do urządzenia, często z użyciem „muli” (money mules) wykonujących ryzykowne zadania w terenie.

Warto pamiętać, iż już w 2018 r. raportowano pierwsze „potwierdzone” przypadki jackpottingu w USA, a mechanika ataków zakładała fizyczne manipulacje przy bankomacie (np. podłączenie klawiatury/urządzeń serwisowych) i szybkie „cash-out”.

Analiza techniczna / szczegóły luki

1) Łańcuch ataku wg dokumentów prokuratury (TTP)

Z opisu DOJ wyłania się powtarzalny schemat operacyjny:

  1. Rekonesans – grupa obserwuje bankomat i zabezpieczenia zewnętrzne.
  2. Otworzenie obudowy (hood/door) i „test alarmu” – po otwarciu czekają w pobliżu, sprawdzając czy wywołali alarm lub reakcję służb.
  3. Instalacja malware Ploutus:
    • przez wyjęcie dysku i wgranie malware bezpośrednio, albo
    • przez podmianę dysku na wcześniej przygotowany, albo
    • przez podłączenie zewnętrznego nośnika (np. pendrive), który wdraża malware.
  4. Wymuszanie wypłat – Ploutus wydaje nieautoryzowane komendy do Cash Dispensing Module, co skutkuje wypłatą banknotów.
  5. Zacieranie śladów – DOJ podkreśla projektowe nastawienie na usuwanie artefaktów i wprowadzanie w błąd pracowników instytucji finansowych.

2) Co wiemy o Ploutus „od strony inżynierskiej”

CrowdStrike opisuje Ploutusa jako malware dla bankomatów, które:

  • bywa implementowane w .NET i potrafi wykorzystywać komercyjne zaciemnianie kodu (np. .NET Reactor), co utrudnia analizę i utrzymanie sygnatur.
  • komunikuje się z ATM przez XFS middleware (Extensions for Financial Services), często spotykany w świecie bankomatów (np. warstwy typu KAL).
  • posiada proste UI i mechanizmy „serwisowego” wyzwalania (np. sekwencje klawiszy funkcyjnych lub interakcje z ekranem dotykowym), co obniża barierę dla operatora w terenie.

3) Jackpotting w modelu „zdalnym” vs „lokalnym”

Dla porównania, materiał Visa (2016) opisuje jackpotting również w wariancie bardziej „enterprise”: wejście do sieci banku, ruch boczny, nadużycie systemu dystrybucji aktualizacji, a choćby zdalne sterowanie bankomatami (w tym usuwanie śladów).

W sprawie DOJ (2025) akcent jest gdzie indziej: fizyczny dostęp i manipulacja urządzeniem (dysk/USB), czyli miks cyber i „klasycznej” kradzieży z włamaniem, tylko iż z malware jako narzędziem do wypłaty.

Praktyczne konsekwencje / ryzyko

Dla instytucji finansowych i operatorów bankomatów to ryzyko ma kilka warstw:

  • Szybkość ataku: jackpotting jest projektowany tak, by „cash-out” trwał minuty, zanim nastąpi reakcja.
  • Konsekwencje proceduralne: jeżeli malware potrafi usuwać ślady, łatwo o błędne hipotezy (awaria, błąd serwisowy) i opóźnione IR.
  • Ryzyko systemowe: to nie jest tylko „kradzież z jednego urządzenia”. Ten sam TTP może być powielany geograficznie (mobilne załogi), a przy słabszych kontrolach serwisowych – skaluje się szybciej.
  • Koszty pośrednie: przestoje, wymiana komponentów, audyty zgodności, ryzyko reputacyjne, a czasem ryzyko „law enforcement heat” (wzmożone kontrole, dochodzenia, zabezpieczenia dowodów).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „praktycznych”, które mają sens niezależnie od producenta ATM (część to klasyczne best practices, ale w jackpottingu robią różnicę).

1) Utwardzenie fizyczne i procesowe

  • Kontrola kluczy i serwisu: ścisłe zarządzanie kluczami serwisowymi, weryfikacja techników, harmonogramy serwisowe + potwierdzanie „kto i kiedy” dotykał urządzenia.
  • Antytamper: czujniki otwarcia obudowy z realną obsługą alertów (nie „kolejna skrzynka mailowa”), plus procedura reakcji.
  • Ograniczenie dostępu do portów / wnętrza: zabezpieczenia mechaniczne, plomby, utrudnianie „podpięcia” urządzeń zewnętrznych.

2) Kontrole na warstwie systemu ATM

  • Full Disk Encryption + Secure Boot: podmiana dysku ma wtedy dużo mniejszą wartość, a „offline implant” robi się znacznie trudniejszy. (Visa wskazuje wprost na sens ochrony przed modyfikacjami oprogramowania).
  • Application allowlisting: bankomat to środowisko o wąskim profilu aplikacyjnym – whitelistowanie bywa skuteczniejsze niż klasyczny AV.
  • Monitoring procesów i zdarzeń: Visa rekomenduje monitoring aktywności na ATM i wykrywanie odchyleń (np. podejrzane restarty, nietypowe procesy, anomalie).
  • Higiena OS: tam, gdzie przez cały czas występują legacy systemy, ryzyko rośnie (w przeszłości w jackpottingu często przewijał się temat starszych Windowsów).

3) Detekcja „jackpottingu” jako zdarzenia biznesowego

  • Alerty nie tylko „cyber”, ale też operacyjne:
    • nieoczekiwane przejście ATM w tryb „Out of Service”,
    • anomalie w telemetryce CDM/XFS,
    • rozjazdy pomiędzy logami transakcyjnymi a faktycznym stanem kaset,
    • powtarzalne „serwisowe” wzorce zachowań (krótkie otwarcia obudowy, szybkie odjazdy itd.).

4) Incident Response i forensics

  • Traktuj incydent jackpottingu jak połączenie włamania fizycznego i cyberataku: zabezpieczenie nagrań, śladów na obudowie, weryfikacja dysku (czy nie podmieniony), zrzuty/logi, łańcuch dowodowy.

Różnice / porównania z innymi przypadkami

2025 (DOJ, Nebraska): nacisk na „terenową” operację – rekonesans, otwarcie obudowy, instalacja malware przez dysk/USB, wypłata, zacieranie śladów.

2018 (wczesne przypadki w USA): też dominował wątek fizycznego dostępu i działań „podszytych serwisem” (technik + sprzęt), a w tle przewijał się Ploutus.D.

Model opisywany przez Visa (2016): pokazuje, iż jackpotting może być również „zdalny” i skalowany sieciowo (kompromitacja wewnątrz banku, nadużycie systemów aktualizacji, zdalne komendy i czyszczenie śladów). To ważne, bo organizacje często „nadmiernie” kojarzą jackpotting wyłącznie z atakiem na pojedynczy bankomat na miejscu.

Podsumowanie / najważniejsze wnioski

  • „ATM jackpotting” to nie anegdota – DOJ opisuje sprawę na skalę obejmującą 54 osoby i zarzuca użycie Ploutusa jako narzędzia do wymuszenia wypłat.
  • Technicznie Ploutus wpisuje się w rodzinę malware, która potrafi korzystać z realiów ekosystemu ATM (XFS, proste UI, obfuskacja), co ułatwia użycie w operacjach terenowych.
  • Skuteczna obrona wymaga połączenia: fizycznego hardeningu, kontroli integralności systemu, monitoringu anomalii oraz dobrze przećwiczonego IR.
  • Warto myśleć o jackpottingu jak o kontinuum: od lokalnych „cash-out crews” po złożone kampanie z wejściem do sieci i dystrybucji aktualizacji.

Źródła / bibliografia

  1. U.S. Department of Justice (USAO District of Nebraska) – komunikat z 18 grudnia 2025 o dwóch aktach oskarżenia (54 osoby) i opisie TTP. (Department of Justice)
  2. The Hacker News – streszczenie sprawy i dane o skali incydentów/strat (1 529 incydentów; 40,73 mln USD). (The Hacker News)
  3. CrowdStrike – techniczny opis Ploutus (m.in. .NET, XFS, obfuskacja, interakcje operatora). (CrowdStrike)
  4. Visa Payment Fraud Disruption – „ATM Jackpotting Malware Alert” (2016), definicje, metodologia i rekomendacje obronne.
  5. Krebs on Security – tło historyczne pierwszych potwierdzonych przypadków jackpottingu w USA (2018) i obserwacje operacyjne. (Krebs on Security)
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. U.S. DOJ stawia zarzuty 54 osobom za „ATM jackpotting” z użyciem malware Ploutus – jak działał schemat i jak się przed nim bronić

Powiązane

Robak komputerowy (worm) – czym jest, jak działa i jak się przed nim chronić?

Robak komputerowy (worm) – czym jest, jak działa i jak się p...

5 godzin temu
Fałszywe „szablony” dokumentów tożsamości jako usługa: 9 zarzutów dla operatora TechTreek i EGiftCardStoreBD, USA przejmują domeny

Fałszywe „szablony” dokumentów tożsamości jako usługa: 9 zar...

10 godzin temu
Polskie Konferencje Security 2026

Polskie Konferencje Security 2026

20 godzin temu
Plan dla firm na 2026 r. Jak się chronić przed cyberatakami? Podsumowanie roku

Plan dla firm na 2026 r. Jak się chronić przed cyberatakami?...

1 dzień temu
CISA/NSA/Cyber Centre: aktualizacja raportu o backdoorze BRICKSTORM (19.12.2025) – co oznacza dla vSphere i Windows

CISA/NSA/Cyber Centre: aktualizacja raportu o backdoorze BRI...

1 dzień temu
O czym po wigilijnej wieczerzy opowiedzieć nietechnicznej rodzinie

O czym po wigilijnej wieczerzy opowiedzieć nietechnicznej ro...

2 dni temu
Jak zaszyfrować i zabezpieczyć hasłem PDF za darmo? 6 aplikacji

Jak zaszyfrować i zabezpieczyć hasłem PDF za darmo? 6 aplika...

2 dni temu
Zmasowane ataki password spraying na bramy VPN Cisco i Palo Alto (GlobalProtect)

Zmasowane ataki password spraying na bramy VPN Cisco i Palo ...

2 dni temu

Polecane

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię w Bondi

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię...

2 dni temu
Dywersja na kolei. Interpol opublikował czerwone noty

Dywersja na kolei. Interpol opublikował czerwone noty

3 dni temu
Nietypowe znalezisko w lesie. Na miejsce jadą saperzy

Nietypowe znalezisko w lesie. Na miejsce jadą saperzy

5 dni temu
KUL: Student pierwszego roku prawa przygotowywał zamach terrorystyczny. Został zatrzymany przez ABW

KUL: Student pierwszego roku prawa przygotowywał zamach terr...

5 dni temu
Planował "masowy zamach" podczas jarmarku. Służby zatrzymały studenta KUL

Planował "masowy zamach" podczas jarmarku. Służby zatrzymały...

5 dni temu
Ofiary ataku terrorystycznego w Australii

Ofiary ataku terrorystycznego w Australii

5 dni temu
Atak na żołnierzy w Syrii. Władze aresztowały podejrzanych

Atak na żołnierzy w Syrii. Władze aresztowały podejrzanych

6 dni temu
Atak terrorystyczny na plaży w Sydney. Czy wśród ofiar są Polacy? Głos z MSZ

Atak terrorystyczny na plaży w Sydney. Czy wśród ofiar są Po...

1 tydzień temu
Strzały na plaży w Sydney. Jest wiele ofiar

Strzały na plaży w Sydney. Jest wiele ofiar

1 tydzień temu