Le FBI met en garde contre l'augmentation des attaques par logiciels malveillants contre les distributeurs automatiques de billets (jackpotting)

Le FBI a publié un avis IC3 FLASH le 19 février 2026, le FBI a publié un avis IC3 FLASH qui met en garde contre une augmentation du nombre d'incidents de "jackpotting" de distributeurs automatiques de billets (DAB) équipés de logiciels malveillants aux États-Unis. Le bureau indique que cet avis vise à diffuser des détails techniques et des indicateurs de compromission (IOC) afin que les banques, les opérateurs de DAB et les fournisseurs de services puissent renforcer les machines et détecter les compromissions plus tôt.

L'ampleur du problème n'est pas négligeable. Le FBI indique que sur les 1 900 incidents de jackpotting signalés depuis 2020, plus de 700, représentant plus de 20 millions de dollars de pertes, se sont produits au cours de la seule année 2025.

Qu'est-ce que le "jackpot ATM" dans cet avis ?

Dans le cas du jackpotting, les criminels n'ont pas besoin de voler les données des cartes ou de vider les comptes des clients. Ils s'attaquent plutôt au guichet automatique lui-même, en utilisant des logiciels malveillants pour forcer l'appareil à distribuer de l'argent sans qu'il y ait eu de transaction légitime. Le FBI décrit ces événements comme des opérations d'encaissement rapides qui ne sont remarquées qu'après que l'argent a déjà disparu.

Ploutus et le rôle de XFS

L'avis https://www.ic3.gov/CSA/2026/260219.pdf pointe du doigt les logiciels malveillants de type "jackpot", dont la famille Ploutus. Selon le FBI, Ploutus cible les eXtensions for Financial Services (XFS), c'est-à-dire la couche logicielle qui indique au matériel du distributeur automatique de billets les actions à effectuer. Dans un flux normal, l'application ATM envoie des commandes via XFS dans le cadre d'une transaction qui nécessite l'autorisation de la banque. Si un pirate peut envoyer ses propres commandes au XFS, le FBI indique qu'il peut contourner entièrement l'autorisation et ordonner au DAB de distribuer de l'argent à la demande.

Voies d'infection courantes : l'accès physique en premier

Le rapport du FBI souligne que de nombreuses attaques commencent par un accès physique, souvent en ouvrant la face d'un DAB à l'aide de clés génériques largement disponibles. Le FBI énumère ensuite les méthodes de déploiement les plus courantes : retirer le disque dur, y copier un logiciel malveillant à l'aide d'un autre ordinateur, le réinstaller et redémarrer le distributeur, ou échanger le disque avec un disque "étranger" ou un dispositif externe préchargé avec un logiciel malveillant avant de redémarrer.

Pourquoi les distributeurs automatiques de billets fonctionnant sous Windows sont-ils concernés ?

Le FBI indique que le logiciel malveillant peut être utilisé par différents fabricants de distributeurs automatiques de billets avec relativement peu d'ajustements, car la compromission exploite le système d'exploitation Windows sur les distributeurs automatiques concernés. Le logiciel malveillant est décrit comme interagissant directement avec le matériel du DAB et distribuant de l'argent sans nécessiter l'accès au compte d'un client de la banque.

Le FBI recommande aux défenseurs de rechercher des indicateurs numériques

L'avis énumère une série d'indicateurs numériques observés sur les distributeurs automatiques de billets fonctionnant sous Windowsy compris des exécutables suspects tels que Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, ainsi que des fichiers/scripts associés tels que C.dat et Restaurar.bat, et des répertoires nouvellement créés. Il comprend également plusieurs hachages MD5 liés aux artefacts observés.

Au-delà des artefacts de fichiers, le FBI signale les abus potentiels d'outils d'accès à distance (par exemple, TeamViewer/AnyDesk non autorisé) et recherche une persistance inhabituelle par le biais d'exécutions automatiques anormales et de services personnalisés dans les emplacements de registre/service de Windows.

Indicateurs physiques/journaux pouvant révéler une mise en scène

Étant donné que le jackpot implique souvent des manipulations sur place, le FBI signale également des "indicateurs d'interaction physique", notamment des événements d'insertion USB et la détection de dispositifs connectés tels que des claviers USB, des concentrateurs USB et des lecteurs flash. Parmi les signaux d'alerte opérationnels, citons les alertes d'ouverture des portes des distributeurs automatiques de billets en dehors des fenêtres de maintenance, les états inattendus d'insuffisance ou d'absence de liquidités, la connexion d'appareils non autorisés et le retrait du disque dur.

Conseils d'atténuation : "Images en or", audit des supports amovibles et contrôles physiques en plusieurs étapes

L'une des sections les plus utiles est l'accent mis par le FBI sur l'analyse de base et l'intégrité : il recommande de valider les fichiers et les hachages des distributeurs automatiques de billets par rapport à une "image d'or" contrôlée et de traiter les écarts, en particulier les binaires non signés ou nouvellement introduits, comme une compromission potentielle.

Le FBI recommande également une politique d'audit ciblée sur l'utilisation du stockage amovible, l'accès contrôlé aux fichiers et la création de processus afin de détecter les activités de mise en scène susceptibles d'échapper à la surveillance du réseau.

Sur le plan matériel, le conseil du FBI est simple : rendez l'accès à la machine plus difficile et la détection des manipulations plus aisée. Il s'agit notamment de moderniser les serrures pour que les clés génériques ne fonctionnent pas, d'ajouter des alarmes pour les panneaux de service, d'utiliser des capteurs pour détecter les mouvements ou la chaleur inhabituels, de limiter l'accès à la caisse et de veiller à ce que les caméras couvrent correctement le DAB et que les images soient conservées suffisamment longtemps pour être utiles.

Il mentionne également des mesures de renforcement telles que l'établissement de listes blanches de périphériques pour bloquer les connexions matérielles non autorisées, les contrôles d'intégrité des microprogrammes (y compris les contrôles d'intégrité basés sur le TPM au démarrage) et le cryptage des disques pour réduire le risque d'introduction de logiciels malveillants par le retrait et la modification d'un disque en dehors de la machine.

Ce que le FBI demande aux organisations de signaler

Pour signaler un incident, le FBI ( ) encourage les organisations à les organisations à contacter leur bureau local du FBI ou à soumettre leur rapport par l'intermédiaire de l'IC3, et demande des détails pratiques tels que les identifiants de la banque ou de l'agence, la marque ou le modèle du distributeur automatique de billets, des informations sur le fournisseur et la journalisation disponible.