FBI: Forte hausse des attaques de jackpotting d’ATM via malware Ploutus et XFS (TLP:CLEAR)

Selon un FLASH TLP:CLEAR du FBI daté du 19 février 2026, les autorités constatent une augmentation notable des incidents de jackpotting d’ATM aux États-Unis, avec diffusion d’indicateurs de compromission (IOCs) et de recommandations de mitigation.

🚨 Synthèse de la menace

• Plus de 1 900 incidents de jackpotting d’ATM recensés depuis 2020, dont plus de 700 en 2025 pour plus de 20 M$ de pertes.
• Des malwares, notamment la famille Ploutus, ciblent les ATM pour forcer la distribution d’espèces sans transaction légitime.
• Les attaques visent les machines (et non les comptes clients) et se déroulent très rapidement, souvent détectées après coup.

🧪 Détails techniques clés

• Les malwares abusent des eXtensions for Financial Services (XFS), couche logicielle qui pilote le matériel de l’ATM, pour court-circuiter l’autorisation bancaire et ordonner la dispensation de cash.
• Compatibilité multi‑constructeurs avec peu d’ajustements grâce à Windows exploité lors de la compromission.
• Méthodes fréquentes d’infection après accès physique (souvent via clés génériques):
  • Retrait du disque dur, copie du malware, réinsertion et redémarrage.
  • Remplacement du disque par un support externe préchargé de malware et redémarrage.

🧩 IOCs (extraits)

• Fichiers exécutables inattendus sur l’ATM Windows: Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe.
• Hash MD5 observés: 2C2D16658D8DA6B389934273EF8F8E22; 5F177B84F3D92AB5711BE446125FDBE3; 61EECEB5F9186A0BC01DC82798CD6C5F; FDA82030AE92313E94B9339EA1FC107C; C04A7CB926CCBF829D0A36A91EBF91BD.
• Fichiers/Script associés: C.dat; Restaurar.bat; Restauraropteva.bat; Logcontrol.txt; Logc.txt; Borrar_beta.txt.
• Nouveaux répertoires: C:<ATM_Manufacture>\exe\p ; C:\Users\SSAuto1\AppData\Local\P.
• Outils d’accès à distance non autorisés (ex.: TeamViewer, AnyDesk) et journaux montrant des connexions inattendues.

🛠️ TTPs observées et signaux de détection

• Persistance via autoruns anormaux: HKLM\Software\Microsoft\Windows\CurrentVersion\Run; HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon; …\Winlogon\Userinit.
• Services personnalisés sous HKLM\SYSTEM\CurrentControlSet\Services, chemins non standards, exécution sous SYSTEM, noms génériques trompeurs (ATM Service, Dispenser Service, DIEBOLDP).
• Indicateurs physiques et USB: événements 2003 (insertion USB), 6416 (nouveau périphérique externe), 4663 (accès/modif. fichiers avec SACLs), détection de claviers/hubs/clé USB.
• Autres événements de sécurité: 4688 (création de processus, avec ligne de commande si activée), 4697 (installation de service), 1102 (journal de sécurité effacé), 4719 (changement de stratégie d’audit).
• Indicateurs physiques: ouverture de porte hors maintenance, low/no cash inattendu, périphériques non autorisés, retrait de disques, ATM hors service inopiné.

🛡️ Mesures recommandées et objectif

• Stratégie d’audit ciblée (removable storage, object access avec SACLs, process creation) corrélée à une validation d’intégrité “gold image”.
• Renforcement physique (capteurs, changement de serrures, claviers d’accès, barrières, caméras), sécurité matérielle (arrêt automatique, whitelisting de périphériques, contrôles firmware TPM 1.2, chiffrement disque, contrôles mémoire, SBOM/HBOM), journalisation/centralisation/présentation des logs, audit des dispositifs, changements d’identifiants par défaut, évaluation pré‑production, whitelisting IP, antimalware/antivirus, whitelisting logiciel, renseignement sur menaces et formation.
• Signalement via bureaux locaux du FBI et IC3 (www.ic3.gov). Il s’agit d’un FLASH d’alerte TLP:CLEAR visant à partager des IOCs, tendances et mesures de mitigation, et à solliciter des informations d’incidents.

---

🔗 Source originale : https://www.fbi.gov/file-repository/increase-in-malware-enabled-atm-jackpotting-incidents-across-united-states-021926.pdf/view