Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Negli ultimi anni alcune operazioni criminali contro i bancomat stanno tornando a far parlare molto di sé. Non parliamo di truffe tradizionali o di carte clonate, ma di qualcosa di più diretto: macchine costrette letteralmente a erogare contanti senza alcuna transazione reale.
Il fenomeno ha un nome che ormai circola spesso tra gli addetti ai lavori, jackpotting. In pratica i criminali manipolano il sistema dell’ATM e lo trasformano in una specie di distributore automatico di denaro. Sembra quasi una scena da film, ma la dinamica è piuttosto concreta e documentata.
Secondo quanto osservato negli incidenti analizzati, gli attori malevoli sfruttano vulnerabilità fisiche e software dei bancomat per installare malware progettato apposta per forzare l’erogazione di contanti. Il risultato è semplice: il denaro viene rilasciato senza autorizzazione bancaria o uso di carte.
Uno dei malware citati nel report appartiene alla famiglia Ploutus. Questo codice agisce sul livello software chiamato XFS, quello che in pratica dice all’ATM cosa deve fare fisicamente durante una transazione. Se qualcuno riesce a inviare comandi diretti a questo livello, il sistema può essere manipolato.
A quel punto la macchina esegue istruzioni che sembrano legittime dal punto di vista tecnico, ma in realtà bypassano il processo di autorizzazione bancaria. In molti casi il prelievo forzato può avvenire in pochi minuti.
Negli ultimi anni le indagini hanno evidenziato un aumento degli episodi di jackpotting legati a malware negli Stati Uniti. Gli attori malevoli sfruttano vulnerabilità sia fisiche sia software presenti nei bancomat e installano codice progettato per forzare l’erogazione del contante senza alcuna transazione valida. I dati raccolti mostrano una crescita evidente degli incidenti: dal 2020 sono stati segnalati circa 1.900 casi, e più di 700 solo nel 2025, con perdite complessive superiori a 20 milioni di dollari.
Dal punto di vista tecnico, molti attacchi utilizzano malware appartenenti alla famiglia Ploutus. Questo software prende di mira il livello chiamato eXtensions for Financial Services, noto come XFS, cioè il componente che trasmette all’ATM le istruzioni operative durante una transazione. Normalmente l’applicazione dell’ATM invia i comandi attraverso questo livello per ottenere l’autorizzazione della banca. Se però un attore ostile riesce a inviare comandi propri direttamente a XFS, il sistema può essere manipolato e l’autorizzazione bancaria viene di fatto aggirata, consentendo alla macchina di distribuire contanti su richiesta.
Nella pratica gli attacchi partono quasi sempre dall’accesso fisico al dispositivo. Gli operatori aprono il frontale dell’ATM, spesso utilizzando chiavi generiche facilmente reperibili, e da lì procedono con l’infezione. Una delle tecniche osservate consiste nel rimuovere il disco rigido del bancomat, collegarlo a un computer controllato dagli attaccanti e copiare il malware prima di reinstallarlo e riavviare la macchina. In altri casi il disco viene direttamente sostituito con uno preparato in precedenza contenente il software malevolo. Una volta installato, il malware concede il controllo diretto dell’ATM e consente di avviare rapidamente operazioni di cash-out che possono concludersi nel giro di pochi minuti.
Una delle indicazioni più chiare riguarda il controllo dei sistemi direttamente sugli ATM. L’FBI suggerisce una politica di auditing mirata che monitori l’uso dei supporti rimovibili, l’accesso controllato ai file e la creazione di nuovi processi. Non è un controllo generico, diciamo, ma qualcosa di molto focalizzato su segnali che possono indicare attività legate al jackpotting, mantenendo allo stesso tempo un impatto minimo sulle prestazioni delle macchine.
Questo tipo di monitoraggio diventa ancora più efficace quando viene affiancato alla verifica dell’integrità tramite immagini di riferimento, le cosiddette gold image. In pratica ogni ATM dovrebbe poter essere confrontato con una configurazione considerata sicura e valida. Se qualcosa cambia, anche in modo apparentemente banale, può emergere subito un tentativo di intrusione fisica o una fase di preparazione del malware che altrimenti sfuggirebbe ai controlli basati solo sulla rete.
Poi c’è tutto il capitolo della sicurezza fisica, che nel caso degli attacchi con Ploutus conta parecchio. L’adozione di sensori nei dispositivi e nei vestiboli, ad esempio quelli che rilevano vibrazioni o variazioni di temperatura, può segnalare attività sospette prima che il danno avvenga. Allo stesso modo la sostituzione delle serrature standard degli ATM, l’uso di tastiere che attivano allarmi quando viene aperto il vano di manutenzione senza codice e l’aggiunta di barriere fisiche per proteggere cashbox e sportelli rappresentano misure concrete. Anche la copertura adeguata con telecamere di sicurezza rientra tra gli elementi consigliati per ridurre il rischio di jackpotting.
Nel corso delle indagini sono stati individuati vari segnali che possono indicare una compromissione. Tra questi la presenza di file eseguibili non previsti sul sistema o l’uso non autorizzato di applicazioni di connessione remota.
Anche alcuni eventi fisici possono essere sospetti. Porte dell’ATM aperte fuori dai periodi di manutenzione, dispositivi esterni collegati oppure rimozioni del disco rigido rientrano tra gli elementi osservati durante incidenti reali.
Tra le misure suggerite c’è un controllo rigoroso dell’integrità dei sistemi tramite immagini di riferimento verificate. L’idea è semplice: ogni deviazione rispetto alla configurazione prevista deve essere trattata come possibile compromissione. I dati e le indicazioni tecniche arrivano dalla ricerca pubblicata dal Federal Bureau of Investigation attraverso l’Internet Crime Complaint Center.
Per la community di Red Hot Cyber il messaggio è chiaro: quando un attacco riesce a sfruttare sia la componente fisica sia quella software, la difesa non può essere parziale. Servono più controlli e soprattutto controlli continui, integrità dei sistemi e monitoraggio e visibilità sugli eventi locali, non solo su quelli di rete.
