FBI waarschuwt voor toenemende "jackpotting"-aanvallen op geldautomaten met malware

De FBI heeft een IC3 FLASH-waarschuwing uitgebracht op 19 februari 2026, waarin gewaarschuwd wordt voor een toename van incidenten met "jackpotting" van geldautomaten met malware in de VS. Het bureau zegt dat de waarschuwing bedoeld is om technische details en indicators of compromise (IOC's) te verspreiden, zodat banken, beheerders van geldautomaten en serviceproviders machines kunnen verharden en compromitteringen eerder kunnen herkennen.

De schaal is niet triviaal. De FBI zegt dat van de 1.900 jackpotting-incidenten die sinds 2020 zijn gemeld, er alleen al in 2025 meer dan 700 plaatsvonden, met meer dan 20 miljoen dollar aan verliezen.

Wat "ATM jackpotting" is in dit advies

Bij jackpotting hoeven criminelen geen kaartgegevens te stelen of klantenrekeningen leeg te halen. In plaats daarvan richten ze zich op de geldautomaat zelf, waarbij ze malware gebruiken om de automaat te dwingen geld uit te geven zonder een legitieme transactie. De FBI ziet deze gebeurtenissen als snelle "cash-out" operaties die pas opgemerkt worden als het geld al weg is.

Ploutus en de rol van XFS

Het advies op https://www.ic3.gov/CSA/2026/260219.pdf wijst op malware voor jackpotting, waaronder de Ploutus-familie. De FBI zegt dat Ploutus gericht is op eXtensions for Financial Services (XFS)... de softwarelaag die de hardware van de geldautomaat vertelt welke acties moeten worden uitgevoerd. In een normale stroom stuurt de geldautomaattoepassing opdrachten via XFS als onderdeel van een transactie waarvoor toestemming van de bank nodig is. Als een aanvaller zijn eigen commando's naar XFS kan sturen, kan hij volgens de FBI de autorisatie volledig omzeilen en de geldautomaat opdracht geven om op verzoek geld uit te geven.

Algemene infectiepaden: fysieke toegang komt eerst

In het artikel van de FBI wordt benadrukt dat veel aanvallen beginnen met fysieke toegang, vaak door een gezicht van een geldautomaat te openen met behulp van algemeen verkrijgbare sleutels. Vervolgens geeft de FBI een lijst van veelgebruikte methoden, waaronder het verwijderen van de harde schijf, malware erop kopiëren met een andere computer, de schijf opnieuw installeren en de geldautomaat opnieuw opstarten, of de schijf verwisselen met een "vreemde" schijf of een extern apparaat dat vooraf geladen is met malware voordat de geldautomaat opnieuw wordt opgestart.

Waarom op Windows gebaseerde geldautomaten in het vizier zijn

De FBI zegt dat de malware met relatief weinig aanpassingen gebruikt kan worden door verschillende fabrikanten van geldautomaten, omdat de compromittering gebruik maakt van het Windows-besturingssysteem op de getroffen geldautomaten. De malware heeft een directe interactie met de hardware van de geldautomaat en geeft geld uit zonder dat er toegang tot een bankrekening nodig is.

IOC's waar verdedigers volgens de FBI naar moeten zoeken

Het advies vermeldt een reeks digitale indicatoren die zijn waargenomen op getroffen geldautomaten met Windowswaaronder verdachte uitvoerbare bestanden zoals Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, plus bijbehorende bestanden/scripts zoals C.dat en Restaurar.bat, en nieuw aangemaakte mappen. Het bevat ook meerdere MD5-hashes die gekoppeld zijn aan waargenomen artefacten.

Naast bestandsartefacten markeert de FBI mogelijk misbruik van externe toegangshulpprogramma's (bijvoorbeeld onbevoegde TeamViewer/AnyDesk) en zoekt naar ongebruikelijke persistentie via abnormale autoruns en aangepaste services onder Windows register/servicelocaties.

Fysieke/logboekindicatoren die staging kunnen onthullen

Omdat jackpotting vaak gepaard gaat met knoeien op locatie, noemt de FBI ook "fysieke interactie-indicatoren", waaronder USB-inserties en detectie van aangesloten apparaten zoals USB-toetsenborden, USB-hubs en flash drives. Operationele rode vlaggen zijn onder andere waarschuwingen over het openen van de deur van een geldautomaat buiten de onderhoudsvensters, onverwachte lage/geen kassastanden, aangesloten onbevoegde apparaten en het verwijderen van harde schijven.

Richtlijnen voor risicobeperking: "Gouden beelden", controle van verwisselbare media en gelaagde fysieke controles

Een van de secties die het meest bruikbaar is, is de nadruk die de FBI legt op baselining en integriteit: er wordt aanbevolen om ATM-bestanden/hashes te valideren tegen een gecontroleerde "gold image" en afwijkingen, vooral niet-ondertekende of nieuw geïntroduceerde binaries, te behandelen als potentiële compromittering.

De FBI beveelt ook een gericht auditbeleid aan voor het gebruik van verwijderbare opslag, gecontroleerde bestandstoegang en het aanmaken van processen om staging-activiteiten te detecteren die aan netwerkmonitoring kunnen ontsnappen.

Aan de fysieke kant is het advies van de FBI duidelijk: maak het moeilijker om in de machine te komen en maak het eenvoudiger om sabotage te ontdekken. Dit omvat het upgraden van sloten zodat generieke sleutels niet werken, het toevoegen van alarmen voor servicepanelen, het gebruik van sensoren om ongewone beweging of warmte te detecteren, het beperken van de toegang tot de geldkist en ervoor zorgen dat camera's de geldautomaat goed afdekken, waarbij de beelden lang genoeg worden bewaard om bruikbaar te zijn.

Er worden ook hardening-stappen genoemd zoals whitelisting van apparaten om onbevoegde hardwareverbindingen te blokkeren, integriteitscontroles van firmware (inclusief TPM-gebaseerde integriteitscontroles bij het opstarten) en schijfversleuteling om de kans te verkleinen dat malware kan worden geïntroduceerd door een schijf buiten de machine te verwijderen en te wijzigen.

Wat de FBI van organisaties vraagt om te melden

Voor het melden van incidenten moedigt de FBI organisaties aan organisaties aan om contact op te nemen met hun plaatselijke FBI-kantoor of het incident te melden via IC3, en vraagt om praktische details zoals bank/filiaal-ID's, merk/model van de geldautomaat, informatie over de leverancier en beschikbare logging.