ФБР предупреждает о росте атак на банкоматы с помощью вредоноса Ploutus — опубликованы индикаторы компрометации
В 2025 году количество атак на банкоматы в США достигло 700 инцидентов — это почти треть от всех случаев, зарегистрированных с 2020 года. Злоумышленники используют вредоносное ПО Ploutus, которое атакует слой XFS и позволяет выдавать наличные в обход ограничений. ФБР опубликовало индикаторы компрометации для выявления зараженных устройств.
В 2025 году США потеряли более $20 млн из-за хищения денег из банкоматов. Как заявили в Федеральном бюро расследований США, так называемый jackpotting набирает темпы в стране: всего с 2020 года было зарегистрировано 1,9 тыс. инцидентов, но на один только 2025 год пришлась почти треть случаев — 700 эпизодов. Об этом пишет Security Affairs.
Атаки на банкоматы, как сообщают в ФБР, совершаются с помощью вредоносного ПО — такого, как Ploutus. При заражении банкомата этим ВПО злоумышленник может заставить устройство выдавать деньги. Зловред нацелен на слой eXtensions for Financial Services (XFS), который управляет оборудованием банкоматов. Злоумышленники отправляют команды непосредственно в XFS с помощью Ploutus и таким образом обходят ограничения банка на снятие наличных без карт.
Алгоритм атаки выглядит, как правило, следующим образом: злоумышленник получает физический доступ к банкомату, вскрывает отсек с доступом к «железу» устройства, а затем заражает жесткий диск. Отмечается, что, используя уязвимости в системах Windows, ВПО работает на банкоматах различных марок с минимальными изменениями.
ФБР приводит индикаторы компрометации (Indicators of Compromise, IoC) для банкоматов. В перечне исполняемых файлов: Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, inMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe. Также обращают внимание на связанные файлы и скрипты: C.dat, Restaurar.bat, Restauraropteva.bat, Logcontrol.txt, Logc.txt, Borrar_beta.txt. С полным перечнем IoC можно ознакомиться по ссылке.
Отметим, что в январе 2025 года федеральные власти США предъявили обвинения 87 фигурантам по делу о международной схеме хищения наличных из банкоматов. Злоумышленники также использовали ВПО Ploutus. Мошенники действовали с февраля 2024 года по декабрь 2025-го и успели атаковать не менее 63 банкоматов. Общий ущерб по подтвержденным эпизодам составил не менее $5,4 млн, писал SecPost.
Ploutus впервые был обнаружен в Мексике в 2013 году. В 2018 году исследователи сообщали о выявлении новой версии ВПО — Ploutus-D. В открытых источниках не удалось найти упоминания применения Ploutus в России. Однако в 2014 году Intelligent Enterprise сообщал, что банковский троян Tyupkin был выявлен в России — эксперты затруднялись ответить, является он модификацией Ploutus или ВПО другой киберпреступной группировки. В 2018 году «Коммерсантъ» писал о росте числа случаев атак на банкоматы посредством технологии BlackBox. Атака, как и в случае с Ploutus, основана на подключении стороннего устройства к банкомату.
Еще в 2017 году ФинЦЕРТ отмечал рост интереса злоумышленников к атакам на банкоматы посредством подключения и удаленного управления диспенсером. Отмечалось, что более распространенным ВПО в России для этих целей был Cutlet Maker, но отдельные преступные группировки использовали ATMitch.
С 2019 по 2020 год ФинЦЕРТ получил всего 17 сообщений о различных атаках на банкоматы. Чаще всего злоумышленники использовали различные инструменты для открытия дверцы банкомата и последующего извлечения кассет с денежными средствами — на такие атаки пришлось 44%. Еще 32% пришлось на кеш-треппинг (cash trapping) — другой физический способ перехвата наличности из банкоматов. Однако были выявлены и случаи применения ВПО Cutlet Maker: в Дальневосточном федеральном округе злоумышленники смогли похитить порядка 1,5 млн рублей. Начиная с 2023 года ФинЦЕРТ не публиковал в своих отчетах информацию об атаках на банкоматы.
Читайте также
