В опубликованном бюллетене ФБР сообщает о значительном росте атак типа джекпоттинг (jackpotting) на банкоматы по всей территории США. Только за 2025 год зарегистрировано более 700 инцидентов, а совокупный финансовый ущерб превысил 20 млн долларов. С 2020 года зафиксировано около 1900 атак с применением вредоносного ПО для банкоматов, причем почти половина из них пришлась на текущий год, что демонстрирует устойчивую нисходящую тенденцию безопасности в этом сегменте.
Что такое джекпоттинг банкоматов и почему он опасен
Джекпоттинг банкоматов — это тип атаки, при которой злоумышленник заставляет устройство выдавать наличные без легитимной банковской транзакции. В отличие от традиционного скимминга, где атакуется карта клиента, при jackpotting основная цель — сам банкомат и его программно-аппаратная инфраструктура. В результате преступники похищают крупные суммы за несколько минут, а финансовые организации узнают о компрометации постфактум, уже после опустошения кассеты выдачи.
По данным ФБР, сценарий атаки чаще всего выглядит так: нападающий получает физический доступ к корпусу банкомата, подключает или устанавливает вредоносное ПО и инициирует выдачу наличных напрямую через модуль диспенсера. При этом не используется ни карта, ни PIN-код, ни реальный банковский счет, что делает классические antifraud-системы по транзакциям малоэффективными против подобного вектора.
Ключевой инструмент атак: малварь Ploutus
Эволюция вредоноса для банкоматов
Центральным элементом современных атак джекпоттинга ФБР называет малварь Ploutus, известную экспертам по кибербезопасности уже более десяти лет. Этот вредонос активно использовался при атаках на банкоматы в 2017–2018 годах, но затем почти исчез из публичных отчетов. Тем не менее, как подчеркивает ведомство, Ploutus остается одним из наиболее широко применяемых инструментов в арсенале киберпреступников, атакующих финансовые организации.
Как Ploutus управляет банкоматом
Ploutus эксплуатирует программный слой eXtensions for Financial Services (XFS) — стандартный интерфейс, обеспечивающий взаимодействие операционной системы банкомата с его физическими компонентами: диспенсером, картридером, пин-падом и т.д. В нормальном режиме приложение банкомата инициирует запрос через XFS к процессингу банка для авторизации каждой операции. Однако, получив возможность отправлять команды XFS напрямую, злоумышленник полностью обходит процедуру авторизации и заставляет устройство выдавать деньги по локальной команде.
По сути, Ploutus превращает банкомат в «денежный автомат» под управлением злоумышленника: тот может задавать суммы, количество купюр и сценарий выдачи, зачастую через скрытую клавиатурную комбинацию, USB-устройство или удаленный канал, если банкомат дополнительно скомпрометирован по сети.
Почему банкоматы уязвимы: Windows, XFS и физический доступ
ФБР отмечает, что Ploutus способен работать на банкоматах разных производителей практически без модификации кода. Это связано с тем, что большинство устройств используют унифицированный стек: операционную систему Windows и стандарт XFS. Такая унификация снижает затраты банков на поддержку, но одновременно делает атаку более масштабируемой: разработав малварь под одну конфигурацию, злоумышленники могут переиспользовать ее на тысячах устройств.
Критическим аспектом остается физическая безопасность. В ряде инцидентов злоумышленники получали доступ к внутренностям банкомата при помощи универсальных ключей, поддельных сервисных бейджей или взлома замков. Далее они извлекали жесткий диск, копировали на него вредоносное ПО и устанавливали диск обратно, либо полностью подменяли его на заранее подготовленный носитель с предустановленной малварью. Дополнительно Ploutus умеет автоматически удалять свои следы, усложняя анализ инцидента для криминалистов и специалистов по ИБ.
Рекомендации ФБР по защите банкоматов от джекпоттинга
В бюллетене ФБР приведены индикаторы компрометации и набор практических рекомендаций для банков и процессинговых центров. Среди ключевых мер защиты от атак типа jackpotting выделяются:
1. Регулярный аудит банкоматов. Рекомендуется систематически проверять устройства на наличие неавторизованных USB-носителей, дополнительных плат, модифицированных кабелей и нетипичных сервисных подключений. Особое внимание следует уделять попыткам вскрытия корпусов и повреждениям замков.
2. Мониторинг процессов и контроля целостности. Важно отслеживать неизвестные или аномальные процессы в операционной системе банкомата, изменения в файловой структуре и системных библиотеках, а также использовать решения для контроля целостности эталонных образов. Это позволяет выявлять подмену диска, внедрение малвари и несанкционированные изменения в конфигурации.
3. Ужесточение физической защиты. Банкам рекомендуется пересмотреть политику доступа к сервисным зонам банкоматов, использовать более стойкие замки и индивидуальные ключи, внедрять системы видеонаблюдения и датчики вскрытия корпуса с мгновенным уведомлением службы безопасности.
4. Обновление и сегментация инфраструктуры. По возможности следует переводить банкоматы на актуальные версии Windows с включенными механизмами защиты, ограничивать права локальных учетных записей и жестко сегментировать сеть банкоматов от остальной ИТ-инфраструктуры.
Рост числа атак джекпоттинга на банкоматы показывает, что киберпреступники активно эксплуатируют сочетание унифицированного программного стека, уязвимостей XFS и слабой физической защиты устройств. Финансовым организациям важно рассматривать банкоматы не как изолированные «железные коробки», а как полноценные конечные точки в критически важной платежной инфраструктуре. Усиление мониторинга, регулярный аудит, повышение физической безопасности и обучение персонала — минимальный набор шагов, позволяющий снизить риск успешных атак jackpotting и сохранить доверие клиентов к банковским сервисам.
