ФБР предупреждает о росте числа атак на банкоматы с вредоносным ПО

ФБР выпустило предупреждение IC3 FLASH 19 февраля 2026 г., предупреждая о росте числа инцидентов с "джек-потами" в банкоматах, оснащенных вредоносным ПО, по всей территории США. Бюро заявляет, что предупреждение предназначено для распространения технических деталей и индикаторов компрометации (IOC), чтобы банки, операторы банкоматов и поставщики услуг могли усилить защиту машин и раньше обнаружить компрометацию.

Масштаб не тривиален. ФБР утверждает, что из 1900 инцидентов с джекпотами, зарегистрированных с 2020 года, более 700 с ущербом более 20 миллионов долларов произошли только в 2025 году.

Что такое "банкоматный джекпоттинг" в данном совете

При джекпоттинге преступникам не нужно красть данные карты или опустошать счета клиентов. Вместо этого они нацеливаются на сам банкомат, используя вредоносное ПО, чтобы заставить машину выдавать наличные без законной транзакции. ФБР рассматривает эти события как быстрые "cash-out" операции, которые могут быть замечены только после того, как деньги уже ушли.

Ploutus и роль XFS

Консультация https://www.ic3.gov/CSA/2026/260219.pdf указывает на вредоносное ПО для получения джекпота, включая семейство Ploutus. ФБР утверждает, что Ploutus нацелен на eXtensions for Financial Services (XFS)... программный слой, который указывает оборудованию банкомата, какие действия выполнять. В обычном режиме приложение банкомата посылает команды через XFS в рамках транзакции, требующей авторизации банка. Если злоумышленник может передать свои собственные команды в XFS, то, по мнению ФБР, он может полностью обойти авторизацию и дать банкомату команду выдавать наличные по первому требованию.

Распространенные пути заражения: физический доступ на первом месте

ФБР подчеркивает, что многие атаки начинаются с физического доступа, часто со вскрытия лица банкомата с помощью общедоступных универсальных ключей. Далее ФБР перечисляет распространенные методы внедрения, включая извлечение жесткого диска, копирование на него вредоносного ПО с помощью другого компьютера, его переустановку и перезагрузку банкомата, или замену диска на "чужой" диск или внешнее устройство, предварительно загруженное вредоносным ПО перед перезагрузкой.

Почему банкоматы на базе Windows находятся в зоне риска

ФБР утверждает, что вредоносная программа может быть использована в банкоматах разных производителей с относительно небольшими изменениями, поскольку для взлома используется операционная система Windows на затронутых банкоматах. По описанию, вредоносная программа напрямую взаимодействует с оборудованием банкомата и выдает наличные, не требуя доступа к счету клиента банка.

По мнению ФБР, защитники должны искать IOCs

В рекомендации перечисляется ряд цифровых индикаторов, обнаруженных на пострадавших банкоматах под управлением Windowsвключая подозрительные исполняемые файлы, такие как Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, а также связанные с ними файлы/скрипты C.dat и Restaurar.bat, и вновь созданные каталоги. Он также включает несколько MD5-хэшей, привязанных к наблюдаемым артефактам.

Помимо файловых артефактов, ФБР отмечает потенциальное злоупотребление инструментами удаленного доступа (например, несанкционированный TeamViewer/AnyDesk) и ищет необычные сохранения через ненормальные автозапуски и пользовательские службы в реестре/служебных местах Windows.

Физические/журнальные индикаторы, по которым можно обнаружить "постановку

Поскольку джекпот часто связан с несанкционированным вмешательством, ФБР также называет "индикаторы физического взаимодействия", включая события, связанные со вставкой USB и обнаружением подключенных устройств, таких как USB-клавиатуры, USB-концентраторы и флэш-накопители. Операционные "красные флажки" включают в себя предупреждения об открытии дверей банкомата вне окон технического обслуживания, неожиданные состояния низкого/безденежного уровня, несанкционированное подключение устройств и извлечение жесткого диска.

Рекомендации по устранению последствий: "золотые образы", аудит съемных носителей и многоуровневый физический контроль

Один из наиболее действенных разделов - это акцент ФБР на базовом уровне и целостности: он рекомендует проверять файлы/хэши банкоматов по контролируемому "золотому образу" и рассматривать отклонения, особенно неподписанные или недавно введенные двоичные файлы, как потенциальную компрометацию.

ФБР также рекомендует проводить целенаправленный аудит использования съемных носителей, контролируемого доступа к файлам и создания процессов для обнаружения инсценировок, которые могут ускользнуть от сетевого мониторинга.

Что касается физической стороны, то совет ФБР прост: усложните доступ к машине и облегчите обнаружение несанкционированного доступа. Это включает в себя модернизацию замков, чтобы универсальные ключи не срабатывали, добавление сигнализации на сервисные панели, использование датчиков для обнаружения необычного движения или тепла, ограничение доступа к банкомату, а также обеспечение надлежащего покрытия банкомата камерами, причем записи должны сохраняться достаточно долго, чтобы быть полезными.

Также упоминаются такие меры по усилению защиты, как "белые списки" устройств для блокировки несанкционированных аппаратных подключений, проверка целостности прошивки (включая проверку целостности на основе TPM при загрузке) и шифрование диска, чтобы снизить вероятность внедрения вредоносного ПО путем извлечения и модификации диска вне машины.

О чем ФБР просит организации сообщать

Для сообщения об инцидентах ФБР рекомендует организациям связаться с местным отделением ФБР или отправить сообщение через IC3, и просит сообщить практические подробности, такие как идентификаторы банка/филиала, марку/модель банкомата, информацию о поставщике и доступные протоколы.