Negli Usa aumentano gli attacchi cyber contro gli ATM o “ATM jackpotting” tanto che l’FBI ha definito questa pratica “una delle minacce più redditizie per le organizzazioni cybercriminali“. In particolare, si sottolinea la diffusione sempre più elevata del malware Ploutus.

Sul tema, che unisce la dimensione cinetica a quella cibernetica, il Federal Bureau of Investigation (FBI) ha pubblicato un rapporto. “Nel solo 2025“, ha affermato l’agenzia federale, “si sono registrati più di 700 attacchi ai distributori automatici di contanti, per un bottino stimato di almeno 20 milioni di dollari“.

Dall’unione delle nuove tecniche e degli accessi (materiale e digitale), le possibilità di riuscita di queste operazioni si moltiplicano, come è emerso nell’ultimo anno.

Il monito dell’FBI

L’FBI ha osservato un aumento di questi fenomeni. Su 1.900 incidenti di jackpotting agli sportelli automatici segnalati dal 2020, oltre 700 di essi – con più di 20 milioni di dollari di perdite – si sono verificati nel solo 2025.

L’obiettivo dell’analisi, oltre a sottolineare la portata del problema, è quello di “incoraggiare le organizzazioni ad attuare tutte le misure necessarie di mitigazione“.

Cos’è Ploutus?

Ploutus ATM è un famiglia di malware, che gli analisti cyber hanno rilevato per la prima volta nel 2013. Gli aggressori lo sfruttano per crearsi un ‘canale’ con cui prelevare contanti da un bancomat su comando. L’istallazione del software e dunque la manomissione dello sportello, avvengono accedendo all’unità CD-ROM del bancomat e inserendo un nuovo disco di avvio che distribuisce la variante Ploutus.

Dopo aver collegato una tastiera esterna al bancomat, gli autori dell’attacco devono premere “F8” per visualizzare la finestra nascosta del trojan. In questo modo è possibile eseguire numerosi comandi, come premere “F1” per generare l’identità del bancomat, ‘F2’ per attivare il profilo del bancomat e soprattutto “F3” per erogare contanti.

Secondo l’FBI, Ploutus concede ai criminali “il pieno controllo del bancomat compromesso“. I comandi che inducono la macchina a distribuire banconote consentono questa operazione senza prelevare fondi dai conti dei clienti.

Nel dettaglio, il malware sfrutta le estensioni per i servizi finanziari (XFS), il software che consente allo sportello di comunicare con i vari componenti hardware. Tra questi:

tastierino del PIN .

. Lettore di carte.

Modulo di erogazione del contante.

Nel report FBI si legge: “Ploutus attacca direttamente il bancomat e non i conti dei clienti, consentendo operazioni di prelievo rapido che possono avvenire in pochi minuti. Operazioni, che spesso risultano difficili da rilevare fino a quando non c’è stata la sottrazione del denaro”.

Per approfondire

Leggi il rapporto “Increase in Malware Enabled ATM Jackpotting Incident Across United States” in PDF.

