FBI varnar för ökande "jackpotting"-attacker mot bankomater med skadlig kod

FBI släppte en IC3 FLASH-rådgivning den 19 februari 2026, där man varnar för en ökning av "jackpotting"-incidenter i bankomater med skadlig programvara i USA. Byrån säger att varningen är avsedd att distribuera tekniska detaljer och indikatorer på kompromisser (IOC) så att banker, bankomatoperatörer och tjänsteleverantörer kan härda maskiner och upptäcka kompromisser tidigare.

Skalan är inte trivial. FBI säger att av de 1 900 jackpottningsincidenter som rapporterats sedan 2020 inträffade mer än 700, med förluster på över 20 miljoner dollar, bara under 2025.

Vad "ATM-jackpotting" är i denna rådgivning

Vid jackpottning behöver brottslingar inte stjäla kortuppgifter eller tömma kundkonton. Istället riktar de in sig på själva uttagsautomaten och använder skadlig kod för att tvinga maskinen att betala ut kontanter utan en legitim transaktion. FBI beskriver dessa händelser som snabba "cash-out"-operationer som kanske bara märks efter att pengarna redan är borta.

Ploutus och XFS:s roll

Rådgivningen på https://www.ic3.gov/CSA/2026/260219.pdf pekar på skadlig kod för jackpottar, inklusive Ploutus-familjen. FBI säger att Ploutus riktar sig till eXtensions for Financial Services (XFS) ... det mjukvarulager som berättar för ATM-hårdvaran vilka åtgärder som ska utföras. I ett normalt flöde skickar ATM-applikationen kommandon genom XFS som en del av en transaktion som kräver bankgodkännande. Om en angripare kan ge sina egna kommandon till XFS, säger FBI att de kan kringgå auktoriseringen helt och instruera bankomaten att lämna ut kontanter på begäran.

Vanliga infektionsvägar: fysisk åtkomst kommer först

I FBI:s sammanfattning betonas att många attacker börjar med fysisk åtkomst, ofta genom att öppna en bankomats ansikte med hjälp av allmänt tillgängliga generiska nycklar. Därefter listar FBI vanliga distributionsmetoder, inklusive att ta bort hårddisken, kopiera skadlig kod till den med en annan dator, installera om den och starta om bankomaten, eller byta ut enheten med en "utländsk" enhet eller extern enhet som är förladdad med skadlig kod innan den startas om.

Varför Windows-baserade bankomater är i fokus

FBI säger att den skadliga programvaran kan användas av olika tillverkare av bankomater med relativt liten justering eftersom kompromissen utnyttjar Windows-operativsystemet på drabbade bankomater. Den skadliga programvaran beskrivs som att den interagerar direkt med uttagsautomatens hårdvara och lämnar ut kontanter utan att kräva tillgång till ett bankkundkonto.

IOC: er, säger FBI att försvarare bör leta efter

Meddelandet listar en rad digitala indikatorer som observerats på drabbade bankomater som kör Windowsinklusive misstänkta körbara program som Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, plus tillhörande filer/skript som C.dat och Restaurar.bat, och nyskapade kataloger. Den innehåller också flera MD5-hashar som är knutna till observerade artefakter.

Utöver filartefakter flaggar FBI för potentiellt missbruk av fjärråtkomstverktyg (till exempel obehörig TeamViewer/AnyDesk) och letar efter ovanlig uthållighet via onormala autorun och anpassade tjänster under Windows-register/serviceplatser.

Fysiska indikatorer/loggar som kan avslöja staging

Eftersom jackpottar ofta innebär manipulering på plats efterlyser FBI också "fysiska interaktionsindikatorer", inklusive USB-insättningshändelser och upptäckt av anslutna enheter som USB-tangentbord, USB-hubbar och flash-enheter. Operativa varningsflaggor inkluderar varningar om att bankomatdörrar öppnas utanför underhållsfönster, oväntat låga/inga kontanter, obehöriga enheter anslutna och borttagning av hårddiskar.

Vägledning för begränsning: "Guldbilder", revision av flyttbara medier och fysiska kontroller i flera lager

Ett av de mest handlingsinriktade avsnitten är FBI:s betoning på baselining och integritet: man rekommenderar validering av ATM-filer/hashes mot en kontrollerad "gold image" och att avvikelser, särskilt osignerade eller nyligen introducerade binära filer, behandlas som potentiella kompromisser.

FBI rekommenderar också en riktad revisionspolicy kring användning av flyttbar lagring, kontrollerad filåtkomst och skapande av processer för att upptäcka mellanlagringsaktiviteter som kan undgå nätverksövervakning.

På den fysiska sidan är FBI:s råd enkla: gör det svårare att ta sig in i maskinen och lättare att upptäcka sabotage. Det inkluderar att uppgradera lås så att generiska nycklar inte fungerar, lägga till larm för servicepaneler, använda sensorer för att upptäcka ovanliga rörelser eller värme, begränsa tillgången till kassalådan och se till att kameror täcker ATM ordentligt, med bilder som behålls tillräckligt länge för att vara användbara.

Här nämns också härdningssteg som vitlistning av enheter för att blockera obehöriga hårdvaruanslutningar, integritetskontroller av firmware (inklusive TPM-baserade integritetskontroller vid start) och diskkryptering för att minska risken för att skadlig kod kan införas genom att ta bort och modifiera en enhet utanför maskinen.

Vad FBI ber organisationer att rapportera

För incidentrapportering uppmuntrar FBI organisationer att kontakta sitt lokala FBI-kontor eller skicka in via IC3, och begär praktiska detaljer som bank-/filialidentifierare, bankomatmärke/modell, leverantörsinformation och tillgänglig loggning.