Jackpotting ist eine altbekannte Angriffstechnik. Die Täter gehen dabei auf unterschiedliche Weise vor: Sie ersetzen die Festplatte des Automaten durch eine mit Malware infizierte Version, manipulieren die vorhandene Platte oder schließen ein externes Gerät an, um das System zu steuern. In einigen Fällen kompromittierten Angreifer ein zentrales Verwaltungssystem, um die Schadsoftware an die Zielautomaten zu verteilen.

In vielen der vom FBI untersuchten Vorfälle des vergangenen Jahres infizierten die Täter die Geldautomaten mit Malware, die die Maschinen anwies, ihr Bargeld auszugeben. Am häufigsten kam dabei das Werkzeug Ploutus zum Einsatz. Es zielt auf eine Softwareschicht namens eXtensions for Financial Services (XFS), die Geldautomaten im Rahmen der Bankautorisierung bei legitimen Transaktionen nutzen.

“Wenn ein Angreifer eigene Befehle an XFS senden kann, umgeht er die Bankautorisierung vollständig und weist den Automaten an, auf Anforderung Bargeld auszugeben”, erklärte das FBI in seiner Warnung. Ploutus greife den Automaten selbst an und nicht die Kundenkonten; das ermögliche schnelle Auszahlungen, die binnen Minuten ablaufen und oft erst nach der Abhebung entdeckt würden. Laut FBI kopierten die Täter Ploutus auf die Festplatten der Automaten, nachdem sie diese ausgebaut hatten, oder sie tauschten die Platte gegen eine präparierte aus und starteten den Automaten neu.

Diebold Nixdorf, einer der größten Hersteller im ATM-Markt, hat wiederholt auf die Bedrohung hingewiesen und betont, dass die Akteure im Finanzsektor zur Eindämmung zusammenarbeiten müssten. Das Unternehmen verweist darauf, dass Jackpotting-Angriffe seit der COVID-19-Pandemie zugenommen haben, und warnt vor der aktiven Beteiligung organisierter Kriminalität. Zu den Empfehlungen an Banken und Betreiber zählen ein eingeschränkter physischer Zugang zu den Automaten, der Einsatz starker Verschlüsselung, aktuelle Systeme sowie Alarme bei Manipulationsversuchen an Hard- oder Software.

“ATM-Jackpotting-Angriffe nehmen zu, weil viele Geldautomaten-Umgebungen weiterhin anfällig für einfache Angriffstechniken sind”, sagt Louis Eichenbaum, Federal CTO bei ColorTokens. Solche Angriffe erforderten meist keine fortgeschrittenen Fähigkeiten, da sie häufig veraltete Software, schwache Fernzugriffskontrollen und unzureichende physische Sicherheit ausnutzten. Viele Automaten liefen noch auf Altsystemen, die schwer zu patchen seien und keinen modernen Endpunktschutz böten.

Begünstigt werden die Angriffe laut Mayuresh Dani, Security Research Manager bei Qualys, durch die leichte Verfügbarkeit von Universalschlüsseln zum Öffnen der ATM-Panels sowie durch quelloffene Proof-of-Concept-Projekte, die XFS rückentwickelt und dokumentiert haben. “Billige Schlüssel und unbeaufsichtigte Automaten in Einkaufszentren und an Tankstellen machen eine physische Kompromittierung logistisch einfach und wiederholbar”, sagt Dani.

Zum besseren Schutz empfiehlt Dani, Standardschlösser und -schlüssel auszutauschen, physische Manipulationserkennung und Alarme zu ergänzen, TPM-gestütztes Secure Boot und Firmware-Integritätsprüfungen durchzusetzen sowie striktes IP- und Anwendungs-Whitelisting zu erzwingen. Eichenbaum rät zudem, den Fernzugriff mit Mehr-Faktor-Authentifizierung abzusichern, geteilte Zugangsdaten abzuschaffen und das Prinzip der minimalen Rechte umzusetzen; auf der Hardwareseite sollten ungenutzte Ports deaktiviert, BIOS-Schutzmechanismen aktiviert und Manipulationserkennung installiert werden.