FBI, artan kötü amaçlı yazılım destekli ATM "jackpotting" saldırıları konusunda uyardı

FBI bir IC3 FLASH tavsiyesi yayınladı 19 Şubat 2026'da ABD genelinde kötü amaçlı yazılım destekli ATM "jackpotting" olaylarında artış uyarısında bulunan büro, uyarının teknik ayrıntıları ve tehlikeye girme göstergelerini (IOC'ler) dağıtmayı amaçladığını, böylece bankaların, ATM operatörlerinin ve hizmet sağlayıcıların makineleri sertleştirebileceğini ve tehlikeleri daha erken tespit edebileceğini söylüyor.

Ölçek önemsiz değil. FBI, 2020'den bu yana bildirilen 1.900 jackpot olayından 700'den fazlasının, 20 milyon doların üzerinde kayıpla, sadece 2025 yılında meydana geldiğini söylüyor.

Bu tavsiyede "ATM jackpotting "in ne olduğu

Jackpotting'de suçluların kart verilerini çalmasına ya da müşteri hesaplarını boşaltmasına gerek yoktur. Bunun yerine, kötü amaçlı yazılım kullanarak makineyi yasal bir işlem olmadan nakit para dağıtmaya zorlamak için ATM'nin kendisini hedef alırlar. FBI bu olayları, ancak para gittikten sonra fark edilebilecek hızlı "nakit çıkışı" operasyonları olarak çerçeveliyor.

Ploutus ve XFS'nin rolü

tavsiye kararı ploutus ailesi de dahil olmak üzere ikramiye kazandıran kötü amaçlı yazılımlara işaret ediyor. FBI, Ploutus'un eXtensions for Financial Services'i (XFS) hedef aldığını söylüyor... ATM donanımına hangi eylemleri gerçekleştireceğini söyleyen yazılım katmanı. Normal bir akışta ATM uygulaması, banka yetkilendirmesi gerektiren bir işlemin parçası olarak XFS üzerinden komutlar gönderir. FBI, bir saldırganın XFS'ye kendi komutlarını verebilmesi durumunda, yetkilendirmeyi tamamen atlayabileceğini ve ATM'ye talep üzerine nakit para dağıtması talimatını verebileceğini söylüyor.

Yaygın bulaşma yolları: fiziksel erişim önce gelir

FBI'ın yazısında birçok saldırının fiziksel erişimle, genellikle yaygın olarak bulunan genel anahtarlar kullanılarak bir ATM yüzünün açılmasıyla başladığı vurgulanıyor. Buradan hareketle FBI, sabit sürücünün çıkarılması, başka bir bilgisayar kullanılarak kötü amaçlı yazılımın kopyalanması, yeniden yüklenmesi ve ATM'nin yeniden başlatılması veya yeniden başlatmadan önce sürücünün kötü amaçlı yazılımla önceden yüklenmiş "yabancı" bir sürücü veya harici bir cihazla değiştirilmesi gibi yaygın dağıtım yöntemlerini listeliyor.

Windows tabanlı ATM'ler neden kapsam dahilindedir?

FBI, kötü amaçlı yazılımın farklı ATM üreticileri arasında nispeten az bir ayarlamayla kullanılabileceğini, çünkü tehlikenin etkilenen ATM'lerdeki Windows işletim sisteminden yararlandığını söylüyor. Kötü amaçlı yazılımın doğrudan ATM donanımıyla etkileşime girdiği ve bir banka müşteri hesabına erişim gerektirmeden nakit dağıttığı belirtiliyor.

IOC'ler, FBI savunucuların şunları aramaları gerektiğini söylüyor

Tavsiye, Windows çalıştıran etkilenen ATM'lerinde gözlemlenen bir dizi dijital göstergeyi listelemektedirnewage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe gibi şüpheli yürütülebilir dosyaların yanı sıra C.dat ve Restaurar.bat gibi ilişkili dosyalar/komut dosyaları ve yeni oluşturulan dizinler de dahil olmak üzere. Ayrıca, gözlemlenen eserlere bağlı birden fazla MD5 karmasını da içerir.

Dosya kalıntılarının ötesinde, FBI uzaktan erişim araçlarının (örneğin, yetkisiz TeamViewer/AnyDesk) potansiyel kötüye kullanımını işaretler ve Windows kayıt defteri/hizmet konumları altında anormal otomatik çalıştırmalar ve özel hizmetler yoluyla olağandışı kalıcılık arar.

Evrelemeyi ortaya çıkarabilecek fiziksel/log göstergeleri

Büyük ikramiye genellikle yerinde kurcalamayı içerdiğinden, FBI ayrıca USB yerleştirme olayları ve USB klavyeler, USB hub'lar ve flash sürücüler gibi bağlı cihazların algılanması dahil olmak üzere "fiziksel etkileşim göstergeleri" olarak adlandırmaktadır. Operasyonel kırmızı bayraklar arasında bakım pencereleri dışında ATM kapısı açık uyarıları, beklenmedik düşük/nakit yok durumları, yetkisiz cihazların bağlanması ve sabit sürücünün çıkarılması yer alır.

Etki azaltma kılavuzu: "Altın imajlar", çıkarılabilir medya denetimi ve katmanlı fiziksel kontroller

En uygulanabilir bölümlerden biri FBI'ın temel oluşturma ve bütünlüğe yaptığı vurgudur: ATM dosyalarının/hash'lerinin kontrollü bir "altın imaj" ile doğrulanmasını ve sapmaların, özellikle imzasız veya yeni eklenen ikili dosyaların potansiyel tehlike olarak ele alınmasını önermektedir.

FBI ayrıca ağ izlemeden kaçabilecek hazırlama faaliyetlerini tespit etmek için çıkarılabilir depolama kullanımı, kontrollü dosya erişimi ve süreç oluşturma konularında hedefli bir denetim politikası önermektedir.

Fiziksel açıdan ise FBI'ın tavsiyesi basittir: makineye girmeyi zorlaştırın ve kurcalamayı daha kolay tespit edin. Bu, genel anahtarların çalışmaması için kilitleri yükseltmeyi, servis panelleri için alarmlar eklemeyi, olağandışı hareket veya ısıyı tespit etmek için sensörler kullanmayı, kasaya erişimi sınırlandırmayı ve kameraların ATM'yi düzgün bir şekilde kapsamasını ve görüntülerin yararlı olacak kadar uzun süre saklanmasını sağlamayı içerir.

Ayrıca, yetkisiz donanım bağlantılarını engellemek için cihaz beyaz listesi, ürün yazılımı bütünlük kontrolleri (önyükleme sırasında TPM tabanlı bütünlük kontrolleri dahil) ve makine dışındaki bir sürücünün çıkarılması ve değiştirilmesi yoluyla kötü amaçlı yazılımların eklenmesi olasılığını azaltmak için disk şifreleme gibi sertleştirme adımlarından da bahseder.

FBI kuruluşlardan neleri rapor etmelerini istiyor?

Olay bildirimi için FBI şunları teşvik etmektedir kuruluşların yerel FBI saha ofisleriyle iletişime geçmeleri veya IC3 aracılığıyla göndermeleri istenmekte ve banka/şube tanımlayıcıları, ATM marka/modeli, satıcı bilgileri ve mevcut kayıt gibi pratik ayrıntılar talep edilmektedir.