Ataques a ATMs nos EUA somam 1.900 registros desde 2020 e exploram acesso físico, discos adulterados e comandos ao XFS para liberar dinheiro sem transação legítima.
| Componente | Caixas eletrônicos com sistema Windows e camada XFS usada para acionar hardware de dispensação de cédulas. |
| Vetor | Acesso físico não autorizado ao ATM, abertura do painel com chaves genéricas, remoção ou substituição do disco e reinicialização com malware instalado. |
| Impacto | Dispensação de dinheiro sem cartão, conta de cliente ou autorização bancária, com saques concluídos em minutos e detecção muitas vezes posterior à retirada do dinheiro. |
| Prioridade | Reforçar segurança física dos ATMs, trocar fechaduras padrão, auditar dispositivos, remover credenciais padrão, aplicar allowlisting de dispositivos e manter logs preservados. |
| Artefatos | O malware Ploutus é citado como família usada para obter controle operacional do ATM e enviar comandos à camada XFS. |
| Escala | Foram informados 1.900 incidentes desde 2020, 700 deles em 2025, com perdas superiores a US$ 20 milhões em 2025. |
Autoridades federais dos Estados Unidos alertaram para crescimento de ataques de jackpotting contra caixas eletrônicos, uma modalidade em que o operador não depende de uma transação bancária válida para retirar dinheiro. O conjunto de incidentes informado chega a 1.900 registros desde 2020, com 700 ocorrências em 2025 e perdas superiores a US$ 20 milhões somente naquele ano. Outro levantamento governamental citado no contexto aponta perdas acumuladas de aproximadamente US$ 40,73 milhões desde 2021, indicando que o problema combina fraude física, abuso de software embarcado e falhas de controle operacional em redes de ATMs.
O ponto técnico central é que a cadeia de ataque busca controlar o próprio caixa eletrônico, não a conta do correntista. Em vez de comprometer credenciais de clientes ou iniciar uma operação financeira convencional, os operadores exploram acesso físico ao equipamento e instalam malware especializado, como Ploutus, para interagir com a camada de software responsável por instruir o hardware do ATM. Quando essa camada aceita comandos não autorizados, a autorização bancária é contornada e o dispensador pode liberar cédulas sob controle do invasor.
A atividade descrita também mostra por que controles puramente transacionais não bastam. Se o malware executa no ambiente do ATM e consegue falar com a camada XFS, o evento de saque pode ocorrer fora do fluxo esperado de cartão, PIN, conta e autorização. A defesa, portanto, precisa tratar o caixa eletrônico como endpoint crítico em ambiente físico hostil: com proteção contra abertura indevida, inventário de hardware, integridade de disco, restrição de periféricos, credenciais únicas, logs preservados e resposta automática quando indicadores de comprometimento forem observados.
O ataque começa com acesso físico não autorizado ao caixa eletrônico. Em muitos casos, foi observado o uso de chaves genéricas amplamente disponíveis para abrir a face do ATM. Essa etapa é decisiva porque permite alcançar componentes internos e alterar o armazenamento do equipamento. A partir daí, há dois caminhos principais descritos: remover o disco rígido original, conectá-lo a outro computador para copiar o malware e reinstalá-lo no ATM; ou substituir o disco por outro já preparado com o malware. Nos dois cenários, a reinicialização do ATM faz o ambiente adulterado entrar em operação.
Depois de instalado, o malware procura controlar o hardware do caixa eletrônico diretamente. A família Ploutus, observada inicialmente no México em 2013 e citada no alerta, é descrita como capaz de conceder controle completo do ATM ao operador. O elemento técnico relevante é o abuso da camada XFS, sigla de eXtensions for Financial Services, que funciona como interface entre a aplicação do caixa eletrônico e os dispositivos físicos, incluindo o módulo dispensador. Em uma operação legítima, a aplicação do ATM usa essa camada após a autorização bancária. No jackpotting, comandos próprios são enviados à mesma camada para liberar cédulas sem a autorização esperada.
A característica que amplia o risco é a separação entre o malware e o ecossistema de contas bancárias. Como a retirada não exige cartão real, conta de cliente ou sessão bancária válida, a técnica pode ser adaptada a caixas de fabricantes diferentes com pouca ou nenhuma alteração de código quando a base operacional do equipamento expõe o mesmo tipo de superfície. O material analisado aponta o Windows como sistema subjacente explorado durante o ataque, o que reforça a necessidade de controles de endpoint e de integridade local, além de proteção física.
A execução também é rápida. Uma vez que o malware está ativo e consegue emitir instruções ao subsistema de dispensação, os saques podem ocorrer em minutos. Esse intervalo reduz a janela de reação de equipes de segurança patrimonial e de operações de ATM. Em ambientes sem sensores de violação, câmera funcional, alertas de abertura de gabinete, correlação de reinicializações fora de janela e monitoramento de anomalias no dispensador, a confirmação do incidente pode ocorrer apenas depois que o dinheiro já foi retirado.
A superfície afetada envolve caixas eletrônicos expostos a acesso físico por terceiros, especialmente quando utilizam fechaduras padrão, credenciais default, baixo controle de dispositivos conectados e ausência de telemetria persistente. O ataque não depende de convencer um usuário a interagir com phishing nem de comprometer diretamente uma conta bancária. Ele exige proximidade com o ATM e capacidade de manipular componentes internos, o que coloca em foco locais com baixa vigilância, manutenção terceirizada pouco controlada, rotina de inspeção frágil e inventário incompleto de hardware.
A camada XFS é particularmente sensível porque traduz decisões de software em ações físicas. Qualquer desvio que permita comandos não autorizados nessa interface altera o limite de confiança do ATM. Para bancos, operadores independentes e prestadores de manutenção, o risco não está apenas no malware em si, mas na combinação de abertura física, alteração de disco, reinicialização e execução de instruções fora do fluxo bancário legítimo. Equipamentos com logs locais apagáveis, sem coleta centralizada e sem controle de integridade ficam mais vulneráveis a uma investigação tardia e incompleta.
- ATMs com fechaduras padrão ou mecanismos de acesso físico que possam ser abertos com chaves genéricas.
- Equipamentos em que o disco rígido pode ser removido, adulterado ou substituído sem alarme efetivo.
- Ambientes Windows de ATM sem allowlisting de dispositivos, validação de integridade e credenciais únicas.
- Operações de manutenção que não conciliam abertura de gabinete, troca de componentes e reinicializações com ordem de serviço válida.
A investigação defensiva deve correlacionar eventos físicos e digitais. Reinicializações fora da janela de manutenção, abertura de painel sem ordem de serviço, troca de disco, ausência de logs no período do saque e eventos incomuns no módulo de dispensação são sinais relevantes. Como a atividade pode contornar a lógica de autorização bancária, a telemetria transacional isolada pode não mostrar uma retirada convencional. A análise precisa incluir trilhas do sistema operacional do ATM, registros da aplicação, eventos de XFS, sensores físicos e imagens de câmera quando disponíveis.
Também é importante diferenciar falha operacional de manipulação maliciosa. Um ATM que reinicia e em seguida apresenta dispensação não associada a transação legítima deve ser tratado como incidente de integridade do endpoint. A presença de mídia desconhecida, alteração de sequência de inicialização, desconexões de componentes internos e mudanças de arquivos em áreas sensíveis do sistema devem acionar contenção. Quando houver suspeita de Ploutus ou malware similar, a preservação forense do disco e dos logs deve ocorrer antes de qualquer reinstalação, para evitar perda de evidência.
- Abertura de gabinete, painel frontal ou compartimentos internos sem chamado de manutenção correspondente.
- Reinicialização do ATM imediatamente antes de eventos de dispensação anômalos.
- Comandos ou erros incomuns na camada
XFS, especialmente próximos a horários de saque não reconciliado. - Alteração, remoção ou substituição de disco rígido, além de conexão de dispositivos não autorizados.
- Diferença entre dinheiro dispensado e transações bancárias autorizadas no mesmo intervalo.
A resposta deve começar pelo endurecimento físico, porque a cadeia descrita depende de acesso ao interior do caixa eletrônico. A troca de fechaduras padrão, instalação de sensores de violação, uso de câmeras, revisão de localização dos equipamentos e validação de rotinas de manutenção reduzem a oportunidade de adulteração. Sensores devem gerar alerta operacional acionável, não apenas registro passivo. Aberturas de gabinete, reinicializações e substituição de componentes precisam ser conciliadas com ordens de serviço e identidade do técnico responsável.
No endpoint, a prioridade é impedir que mídia não autorizada e alterações de disco se transformem em execução confiável. O contexto recomenda auditoria dos dispositivos, remoção de credenciais padrão, modo de desligamento automático quando indicadores de comprometimento forem detectados, allowlisting para bloquear conexões não autorizadas e manutenção de logs. Essas medidas devem ser integradas a monitoramento centralizado, porque o ataque pode terminar rapidamente. Em caso de suspeita, o ATM deve ser retirado de operação, preservado para análise e comparado com uma imagem confiável antes de retornar ao serviço.
A governança também importa. A notícia registra novas acusações contra seis suspeitos por crimes associados a jackpotting, incluindo conspirações envolvendo fraude bancária, arrombamento bancário, fraude computacional, fraude bancária, arrombamento bancário e dano a computadores. Os suspeitos são descritos como alegadamente afiliados ao Tren de Aragua, organização designada como terrorista estrangeira nos Estados Unidos. Para operadores de segurança, esse dado não muda a técnica de contenção, mas reforça que jackpotting deve ser tratado como crime organizado com componente cibernético e físico, exigindo coordenação entre segurança lógica, patrimonial, antifraude e investigação.
- Substituir fechaduras padrão e adicionar sensores de abertura, violação e manipulação física nos ATMs.
- Auditar credenciais, contas locais, configuração de inicialização e integridade dos discos usados nos equipamentos.
- Aplicar allowlisting de dispositivos e bloquear periféricos não autorizados no ambiente do ATM.
- Configurar desligamento ou isolamento automático quando houver indicadores de comprometimento físico ou lógico.
- Centralizar logs de sistema, aplicação,
XFS, manutenção e sensores físicos para correlação e preservação forense.
0 Comentários