Die Warnung des FBI ist keine Science-Fiction-Geschichte: Letztes Jahr hatten die Angriffe, die als "jackpotting" bekannt sind - in denen Kriminelle ATMs zwingen, Geld mit Malware zu spucken - einen beunruhigenden Aufschwung. Nach der von der FBI Banken und Geldmarktbetreiber erhielten 2025 allein Berichte über mehr als 700 Vorfälle, zusätzlich zu insgesamt rund 1.900 gemeldeten Fällen seit 2020, und die geschätzten Verluste über 20 Millionen US-Dollar. Wir sprechen nicht von komplexen entfernten Betrügereien gegen Cloud-Konten, sondern von Angriffen, die in vielen Fällen einen physischen Einstieg in die Maschine erfordern und innerhalb von Minuten laufen.
Um zu verstehen, warum diese Räuber so effektiv sind, ist es nützlich, das Herz des Kasses zu betrachten: die Ebene der Software, die die physische Hardware zu tun bestellt. Viele Geldautomaten nutzen den Standard, der als eXtensions für Financial Services oder XFS bekannt ist. Wenn ein Benutzer einen legitimen Rücktritt macht, sendet die ATM-Anwendung Anweisungen über XFS, um die Bank vor der Freigabe von Notizen zur Berechtigung zu fragen. Malware als Ploutus und neuere Varianten konzentrieren sich genau auf diese Schicht: wenn ein Angreifer Befehle direkt an XFS ausgeben kann, kann die Banküberprüfung abschließen und den Kasse bestellen, um Bargeld auf Anfrage zu entrichten, keine Karte oder ein zugehöriges Konto.
Das Verfahren ist in der Technik nicht ausgereift: es kombiniert in der Regel den physischen Zugang und die vorherige Vorbereitung. Forensics berichten, dass Kriminelle das Gehäuse mit generischen Schlüsseln öffnen weit verfügbar, extrahieren Sie die Kasse Festplatte oder verwenden Sie Ports, um Software von abnehmbaren Medien zu laden, und ersetzen oder überschreiben Sie das Systembild mit einem anderen, das Malware enthält. Bei anderen Gelegenheiten wird die Maschine im Voraus vorbereitet und der Angreifer muss nur eine neue Festplatte oder ein Gerät in den Ort eingeben und den Code ausführen. Das Ergebnis ist ein ATM, der normalerweise betrieben wird, bis es plötzlich beginnt, Notizen ohne einen gültigen registrierten Betrieb auszugeben.
Diese Angriffe gehen oft unbemerkt für Entitäten, bis das Geld bereits verschwunden ist. Die Kombination von physikalischer Intrusion und System-Bild-Manipulation macht viele Netzwerk-Überwachungslösungen nicht schädliche Aktivität zu erkennen, weil der Kasse kann weiterhin mit zentralen Systemen kommunizieren oder normal erscheinen, während der Angriff lokal läuft.
In Anbetracht dieses Szenarios weist die eigene Empfehlung des FBI auf einfache, aber effektive Maßnahmen hin: die Geldautomaten auf der Suche nach einer nicht autorisierten Nutzung von abnehmbaren Speichern und unbekannten Prozessen zu prüfen und die Integrität des "Gold"-Bildes des Systems zu validieren, um frühe Manipulationen zu erkennen. Die Kombination von physikalischen Steuerungen (Schlüsselschloss und Gewahrsam, Tamper-Evidenz-Dichtungen, Kameras) und logischen Steuerungen (desaktivieren Boot von USB, Festplattenverschlüsselung, Bildverifikation, weiße Prozessliste) deutlich reduziert das Gelegenheitsfenster der Angreifer. Für diejenigen, die den Betrieb von Ploutus und seine Entwicklung vertiefen wollen, gibt es technische Analysen, die ihren Modus operandi erklären, wie die von Sicherheitsspezialisten veröffentlicht. in ESET.
Die Zunahme der Vorfälle wurde von Polizei und Justiz begleitet. In den Vereinigten Staaten hat sich die Forschung auf organisierte Netzwerke konzentriert; die Justizabteilung hat Gebühren gegen viele Menschen im Zusammenhang mit groß angelegten Systemen geführt, die diese Art von Malware verwendet hätten, um Gelder zu leeren. Obwohl die rechtliche Verfolgung komplex ist und die Strafen je nach Zuständigkeit und Gebühren variieren, zeigen diese Prozesse, dass verantwortliche Gruppen transnationale Organisationen werden können, mit der Fähigkeit, die kriminelle Logistik und das Engineering von bösartiger Software zu koordinieren. Zugang zu offiziellen Mitteilungen und Aktionen, die Website der Abteilung Justiz Es ist die institutionelle Referenz.
Was können Finanzinstitute und Geldautomaten jetzt tun? Neben den Audits und der Bildvalidierung gibt es spezifische Maßnahmen, die die Belichtung reduzieren: physische Schutzeinheiten, strenge Kontrolle, die Zugriff auf Schlüssel und interne Komponenten hat, Hardware und Software-Inventarien machen, Erkennung von unautorisierten USB-Geräten implementieren und, sehr wichtig, schnelle Antwortverfahren bei der Erkennung eines Eindringens beibehalten. Die Zusammenarbeit zwischen Industrie und Sicherheitsagenturen ist auch wichtig: Mit dem Austausch von Engagement-Indikatoren und beobachteten Taktiken können Nachahmungen und Varianten von Malware verhindert werden.
Für regelmäßige Kasse ist das direkte Risiko begrenzt (Angriffe auf die Kasse selbst, nicht auf bestimmte Konten), aber es ist angebracht, eine wachsame Haltung zu halten: wenn ein Kasse Anzeichen von körperlicher Manipulation zeigt, Funktionen erratisch oder nicht den Empfang bietet, ist es bevorzugt, ein anderes Terminal zu verwenden und die Bank warnen. In dem Zeitalter, in dem Software zunehmend Hardwareverhalten definiert, physische Sicherheit und Cybersicherheit müssen zusammen gehen um zu verhindern, dass ein ATM zu einem kontrollfreien Register wird.
Diese Art von Angriff erinnert uns daran, dass die technologische Sicherheit nicht nur eine Angelegenheit von Patches und Firewalls ist: Es ist eine Disziplin, die menschliche Kontrollen, Prozesse und Technologie mischt. Die aktuellen Beweise und Empfehlungen des FBI betonen, dass das Eingreifen in jede dieser Schichten - von der Schlüsselverwaltung bis zur Systembildintegrität - der einzige Weg ist, um den Zaun über diejenigen zu verengen, die ein Geldautomat in eine Sackgasse verwandeln. Für mehr Kontext und journalistische Begleitung über diese Tatsachen und ihre Evolution, spezialisierte Medien wie BlepingComputer Bereitstellung einer konstanten und aktuellen Abdeckung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...