Nach Darstellung des FBI in einem Bulletin vom Donnerstag setzen die Angreifer spezialisierte Malware wie Ploutus ein, um Geldautomaten zu infizieren und zur Bargeldausgabe zu zwingen. Den physischen Zugang verschaffen sie sich meist über die Frontabdeckung der Geräte, die sich mit allgemein verfügbaren Generalschlüsseln öffnen lässt.

Für das Aufspielen der Schadsoftware beschreibt das FBI mindestens zwei Vorgehensweisen. Bei der einen entfernen die Täter die Festplatte des Automaten, schließen sie an ihren eigenen Rechner an, kopieren die Malware auf die Platte, bauen sie wieder ein und starten das Gerät neu. Bei der anderen ersetzen sie die Festplatte vollständig durch eine fremde, bereits mit der Schadsoftware präparierte Platte und führen einen Neustart durch.

Das Ergebnis ist in beiden Fällen identisch: Die Malware kommuniziert unmittelbar mit der Hardware des Automaten und übergeht so sämtliche Sicherheitskontrollen der Originalsoftware. Da sie für die Bargeldausgabe weder eine echte Bankkarte noch ein Kundenkonto benötigt, lässt sie sich mit kaum verändertem Code gegen Automaten unterschiedlicher Hersteller einsetzen – ausgenutzt wird das zugrunde liegende Windows-Betriebssystem.

Ploutus wurde dem FBI zufolge erstmals 2013 in Mexiko beobachtet. Einmal installiert, verschafft die Schadsoftware den Angreifern vollständige Kontrolle über den Automaten und ermöglicht Bargeldausgaben, die laut FBI binnen Minuten ablaufen und sich oft erst nach der Abhebung erkennen lassen.

Technisch greift Ploutus die eXtensions for Financial Services (XFS) an – jene Softwareschicht, die einem Geldautomaten vorgibt, was er physisch tun soll. Bei einer regulären Transaktion sendet die Automatensoftware über XFS Anweisungen zur Freigabe durch die Bank. Können die Täter eigene Befehle an XFS absetzen, umgehen sie diese Freigabe vollständig und weisen den Automaten direkt zur Bargeldausgabe an.

Zur Eindämmung des Risikos nennt das FBI eine Reihe von Maßnahmen. Auf physischer Ebene rät die Behörde zur Installation von Bedrohungssensoren und Überwachungskameras sowie zum Austausch der Standardschlösser an den Geräten. Hinzu kommen das Auditieren der Automaten, das Ändern von Standardzugangsdaten, ein automatischer Abschaltmodus bei erkannten Kompromittierungsindikatoren, eine Zulassungsliste für Geräte zur Verhinderung unbefugter Verbindungen sowie das Führen von Protokollen.

In den USA wurden zudem sechs weitere Verdächtige im Zusammenhang mit Jackpotting angeklagt. Ihnen werden unter anderem Verschwörung zum Bankbetrug, Verschwörung zu Bankeinbruch und Computerbetrug, Bankbetrug, Bankeinbruch sowie Beschädigung von Computern zur Last gelegt. Die Beschuldigten sollen der Tren de Aragua angehören, die als ausländische terroristische Organisation eingestuft ist. Damit wurden in den vergangenen Monaten insgesamt 93 Personen im Zusammenhang mit dem Vorgehen angeklagt.