Im Zentrum der Untersuchung steht CryptoPro Secure Disk, eine von CryptWare angebotene Lösung für vollständige Festplattenverschlüsselung und Pre-Boot-Authentifizierung unter Windows. Laut Bericht integriert Diebolds Vynamic Security Suite im Bereich Hard Disk Encryption ein Drittanbieter-Programm namens CryptoPro Secure Disk. Gerade dieser Bezug macht die Forschung relevant, weil Hersteller von Geldautomaten eigene Schutzmechanismen gegen sogenanntes Jackpotting einsetzen, also gegen Angriffe, bei denen Schadsoftware eine unberechtigte Geldausgabe auslöst.
Burch beschreibt einen typischen physischen Angriffsweg über den oberen Teil eines Geldautomaten, in dem die PC-Komponenten sitzen. Dieser Bereich sei oft schwächer geschützt als der Tresorteil. Im Inneren laufe auf Windows ein Software-Stack mit Bankkonfigurationen, der letztlich auf eine einzelne DLL für Extensions for Financial Services, kurz XFS, zurückgreife. XFS verbinde Nutzer mit ihren Banken und ermögliche die Geldausgabe. Statt einen Automaten gewaltsam am Tresor anzugreifen, könnten Täter daher den Geräteaufbau öffnen und Malware einschleusen, um XFS zu erreichen.
Zu den von Burch gefundenen Schwachstellen gehören mehrere Fehler im Entschlüsselungsprozess vor dem Systemstart. Wenn ein Fehlerzustand herbeigeführt werde und die Entschlüsselung scheitere, habe CryptoPro Datenträger standardmäßig unverschlüsselt eingebunden. Hinzu kam laut Burch eine nur oberflächliche Prüfung, ob ein Datenträger LUKS-Verschlüsselung nutzte. Dadurch könne ein Angreifer einen Datenträger als verschlüsselt erscheinen lassen und das System erneut dazu bringen, ihn im Klartext einzubinden.
Weitere Probleme betrafen die Ablage sensibler Informationen. Nach Burchs Darstellung speicherte CryptoPro eigenes Schlüsselmaterial und Konfigurationswerte auf dem Datenträger selbst statt an einem besser geschützten Ort. Zusammen mit dem Klartext-Problem habe ihm das vollständigen Einblick in die besonders geschützten Geheimnisse des Programms verschafft. Außerdem habe er festgestellt, dass das Secure-Boot-Setup von CryptoPro es einem Angreifer erlaube, auf einem Geldautomaten eine eigene beliebige Linux-Umgebung statt der vorgesehenen Herstellerumgebung zu starten.
In der Summe hätten die Schwachstellen es ihm ermöglicht, bereits vor dem Windows-Start eigenen Code auf dem Geldautomaten auszuführen, die nötigen Schlüssel zur Entschlüsselung der Windows-Umgebung wiederherzustellen und dann mit einem Standardablauf für Jackpotting Bargeld zu entwenden. Als bekannteste Schadsoftware für solche Angriffe nennt der Bericht Ploutus. Seit den ersten in den USA beobachteten Jackpotting-Angriffen im Jahr 2017 habe die Zahl der Vorfälle zugenommen. Von rund 2.000 Fällen, die seit 2020 dem FBI gemeldet wurden, entfielen demnach mehr als 700 allein auf 2025; der gestohlene Betrag lag laut Quelle bei mehr als 20 Millionen US-Dollar.
CryptWare und CPSD reagierten laut Bericht nicht auf Anfragen von Dark Reading. Diebold Nixdorf widersprach den Schlussfolgerungen des Forschers jedoch ausdrücklich. Mike Jacobsen, Senior Director of Corporate Communications bei Diebold, erklärte gegenüber Dark Reading, sein Unternehmen nutze tatsächlich weder BitLocker noch CryptoPro Secure Disk für BitLocker; deshalb seien die Ergebnisse nicht direkt auf Diebold anwendbar. Zugleich bestätigte Jacobsen, dass Diebold-Geldautomaten einige Komponenten von CryptoPro in der eigenen Vynamic Security HDE einsetzen. Auf Nachfrage, wie genau CryptoPro implementiert werde, wollte er keine weiteren Details nennen. Burch vermutet, dass stattdessen möglicherweise einer von CryptoPros alternativen kryptografischen Mechanismen verwendet werde. CryptoPro Secure Disk ist dem Bericht zufolge sowohl in den Endnutzer-Lizenzverträgen von 2018 als auch von 2024 für Diebold VSS aufgeführt.
Nach Burchs Meldungen arbeitete Diebold nach eigenen Angaben mit den Entwicklern von CryptoPro zusammen, um die Auswirkungen auf die eigenen Geldautomaten zu bewerten. Das gemeinsame Ergebnis sei, so Jacobsen, dass die Erkenntnisse in realen Umgebungen nur ein geringes bis gar kein zusätzliches Risiko darstellten. Gleichzeitig räumte er ein, dass zwei nicht näher benannte der neun Schwachstellen unter bestimmten Bedingungen theoretisch auf Diebolds HDE anwendbar seien. Diese Punkte habe Diebold offenbar stillschweigend mit einem Update im Dezember 2025 behoben.
Unabhängig von der Frage, ob zwei oder alle neun Schwachstellen Diebold-Geldautomaten betreffen, verweist der Bericht auf eine breitere Verbreitung von CryptoPro in Windows-Umgebungen. Der Hersteller beansprucht auf seiner Produktseite mehr als 500.000 Lizenzen auf fünf Kontinenten und in 20 Branchen.
