Взломщики банкоматов резко нарастили активность в США. Злоумышленникам досталось более $20 млн

700 взломов за год

В течение 2025 г. наблюдался значительный всплеск атак против банкоматов, в результате чего злоумышленники смогли разбогатеть на $20 млн. Об этом сообщило ФБР.

По данным агентства, в течение 2025 г. выявлено более 700 взломов банкоматов с помощью вредоносного ПО. Всего с 2020 года таких инцидентов было около 1900, то есть на один только прошлый год пришлось более трети таких атак.

Наибольшей популярностью пользуется вредонос под названием Ploutus.

Freepik - Freepik По данным ФБР, только за 2025 г. злоумышленники, специализирующиеся на взломах банкоматов, украли не менее $20 млн

Как поясняют в ФБР, банкоматы перед выдачей средств запрашивают проверку транзакции на легитимность у банковской сети. Однако Ploutus позволяет злоумышленникам напрямую давать банкомату команды в обход всех проверок.

С его помощью злоумышленники весьма успешно добывают наличность из банкоматов, так что сами банковские учреждения и непосредственные операторы этих машин спохватываются, когда уже слишком поздно. Атаки занимают считанные минуты.

«Ploutus» эксплуатирует программный слой eXtensions for Financial Services (XFS), который регулирует физическую работу банкомата. При легитимной транзакции банкомат отправляет через XFS запрос на авторизацию. Если же злоумышленники могут напрямую давать команды XFS, то процедуру банковской авторизации они обходят полностью и могут заставить банкомат выдать всю наличность», - говорится в публикации ФБР.

Ploutus - весьма старый хакерский инструмент: первые сведения о нем относятся к 2013 г.

Можно с уверенностью сказать, что с тех пор он существенно эволюционировал.

Проблема доступа

Установка вредоносной программы подразумевает физический доступ к банкомату с помощью широко распространенных ключей к их замкам. Внутри банкомата располагается вполне обычный компьютер со стандартной операционной системой (Windows, Linux). Если злоумышленникам удается извлечь жесткий диск, то копирование вредоноса в него - минутное дело. Иногда злоумышленники даже подменяют диск целиком на заранее скомпрометированный вариант.

«В отличие от бронированного бокса, где хранится наличность, компьютерные компоненты банкоматов не обладают серьезной защитой, и получение доступа к ним - не проблема, если корпус устройства уже открыт, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Существует множество способов предохранить банкоматы, как физических, так и программных, но их массовая реализация может быть весьма накладной, особенно для крупных сетей. Видимо, поэтому они готовы мириться с тем, что время от времени воры обчищают отдельные машины».

ФБР рекомендует проводить аудиты своих банкоматов на предмет физического вмешательства и подмены носителей, а также неавторизованных процессов. Эти меры рекомендуется сочетать с проверкой целостности эталонного образа носителей, что позволяет заблаговременно выявлять атаки - до того, как очередной «денежный мул» скроется вместе с наличностью.

ФБР, со своей стороны, активно занимается арестами банды Tren de Aragua, члены которой как раз и специализируются на атаках на банкоматы. За последние шесть месяцев были арестованы 87 членов группировки. В случае признания виновными им грозят сроки от 20 лет до пожизненного.