L'FBI avverte dell'aumento degli attacchi "jackpotting" ai bancomat con malware

L'FBI ha pubblicato un avviso IC3 FLASH il 19 febbraio 2026, che avverte di un aumento degli incidenti di "jackpotting" di bancomat abilitati da malware in tutti gli Stati Uniti. L'FBI afferma che l'avviso ha lo scopo di distribuire dettagli tecnici e indicatori di compromissione (IOC), in modo che le banche, gli operatori di bancomat e i fornitori di servizi possano rendere più sicure le macchine e individuare prima i compromessi.

La portata non è banale. L'FBI afferma che dei 1.900 incidenti di jackpotting segnalati dal 2020, più di 700, con oltre 20 milioni di dollari di perdite, si sono verificati solo nel 2025.

Che cos'è il "jackpotting ATM" in questo avviso

Nel jackpotting, i criminali non hanno bisogno di rubare i dati delle carte o di prosciugare i conti dei clienti. Invece, mirano al bancomat stesso, utilizzando un malware per costringere la macchina a erogare contanti senza una transazione legittima. L'FBI inquadra questi eventi come rapide operazioni di "cash-out" che possono essere notate solo dopo che il denaro è già sparito.

Ploutus e il ruolo di XFS

L'avviso di https://www.ic3.gov/CSA/2026/260219.pdf indica un malware per il jackpotting, tra cui la famiglia Ploutus. L'FBI afferma che Ploutus prende di mira le eXtensions for Financial Services (XFS)... il livello software che indica all'hardware del bancomat quali azioni eseguire. In un flusso normale, l'applicazione ATM invia comandi attraverso XFS come parte di una transazione che richiede l'autorizzazione della banca. Se un aggressore è in grado di inviare i propri comandi a XFS, l'FBI afferma che può bypassare completamente l'autorizzazione e ordinare al bancomat di erogare contanti su richiesta.

Percorsi comuni di infezione: l'accesso fisico viene prima

Il documento dell'FBI sottolinea che molti attacchi iniziano con l'accesso fisico, spesso aprendo il volto di un bancomat utilizzando chiavi generiche ampiamente disponibili. Da lì, l'FBI elenca i metodi comuni di distribuzione, tra cui la rimozione del disco rigido, la copia del malware su di esso utilizzando un altro computer, la reinstallazione e il riavvio del bancomat, oppure la sostituzione del disco con un disco "estraneo" o un dispositivo esterno precaricato con il malware prima del riavvio.

Perché i bancomat basati su Windows sono nel mirino

L'FBI afferma che il malware può essere utilizzato da diversi produttori di ATM con un adattamento relativamente minimo, perché la compromissione sfrutta il sistema operativo Windows degli ATM interessati. Il malware è descritto come in grado di interagire direttamente con l'hardware del bancomat e di erogare contanti senza richiedere l'accesso al conto del cliente della banca.

IOC, l'FBI dice che i difensori dovrebbero cercare

L'avviso elenca una serie di indicatori digitali osservati sui bancomat colpiti con sistema operativo Windowstra cui eseguibili sospetti come Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, oltre a file/script associati come C.dat e Restaurar.bat, e directory appena create. Include anche diversi hash MD5 legati agli artefatti osservati.

Oltre agli artefatti dei file, l'FBI segnala un potenziale abuso degli strumenti di accesso remoto (ad esempio, TeamViewer/AnyDesk non autorizzato) e cerca una persistenza insolita attraverso autorun anomali e servizi personalizzati nelle posizioni del Registro di sistema/servizi di Windows.

Indicatori fisici e di log che possono rivelare una messa in scena

Poiché il jackpotting spesso implica una manomissione in loco, l'FBI segnala anche "indicatori di interazione fisica", tra cui gli eventi di inserimento USB e il rilevamento di dispositivi collegati come tastiere USB, hub USB e unità flash. Le bandiere rosse operative includono gli avvisi di apertura dello sportello del bancomat al di fuori delle finestre di manutenzione, gli stati inaspettati di basso/assenza di contanti, i dispositivi non autorizzati collegati e la rimozione del disco rigido.

Guida alla mitigazione: "immagini d'oro", auditing dei supporti rimovibili e controlli fisici a più livelli

Una delle sezioni più interessanti è l'enfasi dell'FBI sul baselining e sull'integrità: raccomanda di convalidare i file/hash dell'ATM rispetto a una "gold image" controllata e di trattare le deviazioni, in particolare i file binari non firmati o introdotti di recente, come una potenziale compromissione.

L'FBI raccomanda anche una politica di audit mirata sull'uso dello storage rimovibile, sull'accesso controllato ai file e sulla creazione di processi, per rilevare le attività di staging che possono eludere il monitoraggio della rete.

Dal punto di vista fisico, il consiglio dell'FBI è semplice: rendere più difficile l'accesso alla macchina e più facile individuare le manomissioni. Ciò include l'aggiornamento delle serrature in modo che le chiavi generiche non funzionino, l'aggiunta di allarmi per i pannelli di servizio, l'utilizzo di sensori per rilevare movimenti insoliti o calore, la limitazione dell'accesso alla cassa e la garanzia che le telecamere coprano adeguatamente il bancomat, con filmati conservati abbastanza a lungo da essere utili.

Il documento cita anche misure di hardening come il whitelisting dei dispositivi per bloccare le connessioni hardware non autorizzate, i controlli di integrità del firmware (compresi i controlli di integrità basati sul TPM all'avvio) e la crittografia del disco per ridurre la possibilità di introdurre malware rimuovendo e modificando un'unità al di fuori della macchina.

Cosa l'FBI chiede alle organizzazioni di segnalare

Per la segnalazione di incidenti, l'FBI incoraggia le organizzazioni a a contattare l'ufficio locale dell'FBI o a inoltrare la segnalazione tramite IC3, e richiede dettagli pratici come gli identificatori di banca/filiale, la marca/modello del bancomat, le informazioni sul fornitore e la registrazione disponibile.