Один SSD и «джекпот» из банкомата: раскрыта схема физического взлома, которую не видит сигнализация

Ploutus США банкомат арест Венесуэла
Один SSD и «джекпот» из банкомата: раскрыта схема физического взлома, которую не видит сигнализация
Ploutus США банкомат арест Венесуэла

В США предъявили обвинения десяткам фигурантов схемы, которая заставляла банкоматы выдавать наличные по команде.

image

Министерство юстиции США предъявило обвинения десяткам человек по делу о серии краж из банкоматов с использованием вредоноса Ploutus. Ведомство сообщило, что две федеральные коллегии присяжных выдвинули обвинения в общей сложности против 54 фигурантов, которых считают участниками кампании по разработке и применению варианта Ploutus, позволявшего «выкачивать» наличные из банкоматов по всей стране.

В одном из обвинительных заключений, которое ранее в этом месяце стало публичным, речь идёт о группе из 22 человек: по версии следствия, с февраля 2024 года по декабрь 2025-го они совершили или попытались совершить как минимум 63 атаки на банкоматы, включая 54 эпизода с машинами кредитных союзов. Второе заключение было подано в октябре и раскрыто на этой неделе — в нём фигурируют ещё 32 человека, которым вменяют преступления, связанные с той же схемой.

Минюст утверждает, что участники сговора связаны с Tren de Aragua — венесуэльской группировкой, которую Госдепартамент недавно признал иностранной террористической организацией. Публикация обвинений совпала с усилением давления администрации Дональда Трампа на власти Венесуэлы: Белый дом заявлял о связях руководства страны с Tren de Aragua, но утёкшая в апреле записка американских разведслужб оспаривала наличие таких связей. Из упомянутых в материалах дела людей как минимум один, Jimena Romina Araya Navarro, подтверждённо является гражданином Венесуэлы, но национальности остальных обвиняемых не уточняются.

По подсчётам следствия, группа из 22 человек похитила не менее 5,4 млн долларов и не смогла украсть ещё около 1,4 млн. Отдельные финансовые организации потеряли более 100 тысяч долларов, а один кредитный союз в городе Керни, штат Небраска, — примерно 300 тысяч. Прокуратура описывает типичную схему так: участники работали командами, заранее подбирали подходящие банкоматы и проводили «разведку», после чего открывали верхний отсек банкомата и ждали неподалёку, чтобы понять, сработала ли сигнализация или появится ли полиция.

Если тревога не поднималась, злоумышленники устанавливали вредонос на банкомат разными способами: снимали накопитель и записывали код напрямую, меняли накопитель на заранее подготовленный с Ploutus, либо подключали внешний носитель вроде флешки, который разворачивал заражение. Следствие подчёркивает, что для атаки требовался физический доступ: нужно было извлечь устройство хранения данных (жёсткий диск или SSD), внедрить на него вредоносный код и вернуть накопитель обратно. После этого Ploutus мог обходить защитные механизмы банкомата, а затем в устройство отправлялась команда на выдачу денег, и наличные начинали выходить из кассеты; часть участников также наблюдала за банкоматами и проверяла, есть ли у них «тихие» датчики вскрытия.

В материалах дела перечислены конкретные эпизоды, включая март 2025 года, когда, как утверждается, участники группы похитили 79 200 долларов из банкомата в Омахе, штат Небраска. На фоне обвинений Минюст напомнил, что специалисты и госструктуры почти десятилетие предупреждают о семействе Ploutus: специалисты Google ранее называли его одним из самых продвинутых видов ATM-вредоносов, с которыми им приходилось сталкиваться. Впервые Ploutus обнаружила Symantec в 2013 году, после чего вредонос неоднократно обновлялся; ранние версии применяли в Мексике и позволяли опустошать банкоматы с помощью подключённой клавиатуры или даже через SMS — подход, который на тот момент считался беспрецедентным.

Со временем Ploutus использовали против банкоматов разных производителей, включая решения Diebold Nixdorf и платформу Kalignite, а сама Diebold Nixdorf в 2017 и 2018 годах выпускала предупреждения о вариантах вредоноса, которые применяли для краж в Мексике и США. По данным следствия, злоумышленникам был нужен мастер-ключ для открытия верхней части банкомата или возможность вскрыть замок, чтобы подключить устройство или добраться до компонентов, а сам вредонос, как отмечается, способен удалять следы атаки. В Qualys Threat Research Unit заявили, что Ploutus развивался непрерывно на протяжении 12 лет, обрастая новыми возможностями, и теперь совместим с разными ATM-платформами и версиями Windows благодаря целенаправленному изучению моделей безопасности банкоматов.

Прокурор США Лесли Вудс добавила, что украденные деньги, по версии следствия, делили между теми, кто выполнял физические атаки, и старшими лидерами группировки.