When It Started
Throughout 2025, something was quietly bleeding money from ATMs across the country. Not through card skimming or social engineering. This was different. More coordinated. More sophisticated. According to a recent FBI cyber attack report, approximately 700 ATM jackpotting attacks occurred last year, with Ploutus malware at the center of the assault. The total damage? $20 million in direct losses.
SecurityWeek broke down the details of what amounts to one of the year's most persistent, yet underreported, malware campaigns targeting the financial sector's most vulnerable endpoints.
The Discovery
The FBI didn't stumble onto this by accident. Banks and ATM operators noticed cash dispensing anomalies—machines spitting out bills without corresponding transactions, or worse, dispensing currency in response to commands nobody issued. Once enough institutions reported the pattern, the dots connected. Ploutus malware. A known jackpotting tool that's been in circulation for years, but clearly still finding victims.
And here's what's maddening about this particular FBI cyber attack advisory: this wasn't a new threat. Ploutus has been around since at least 2013. The malware's capability to directly interface with ATM software and trigger cash dispensing is well-documented in security circles.
So why are 700 machines falling to it in a single year?
Technical Analysis
Ploutus works by gaining physical or network access to an ATM, then deploying code that communicates directly with the cash dispenser's control systems. It bypasses normal transaction verification. No card. No PIN. Just a command that says: dispense cash. Now.
The malware typically requires either USB access to the machine's internals or compromised network credentials to reach the ATM's operating system. Once in, it's devastating in its simplicity.
What makes this campaign particularly nasty is the scale and coordination. Seven hundred incidents don't happen randomly. This suggests organized actors running a deliberate operation, methodically targeting ATMs across multiple institutions. The financial sector's internal FBI cyber attack warning systems clearly weren't catching all instances in real time.
Real question: how many additional attacks went unreported?
Damage Assessment
$20 million. Let that sit for a second.
That's real money pulled from real institutions. Banks absorb losses like this, and the cost flows downstream—reduced services, higher fees, tighter security budgets that often go toward compliance theater instead of actual threat detection.
The FBI cyber attack statistics paint a picture of a threat that persists because it works. These aren't attacks requiring zero-day exploits or nation-state resources. They're straightforward exploitation of weak ATM security practices. Physical controls. Network segmentation. Monitoring.
But here's what bothers me: 700 attacks means hundreds of institutions affected. Yet this didn't trigger the kind of urgent, sector-wide response we'd see if the threat was more exotic. Ransomware makes headlines. Jackpotting? It gets filed in a report.
Mitigation
If you're managing ATM fleets, the FBI's FBI cyber attack news should trigger immediate action. Start with the fundamentals that should already be in place but clearly aren't everywhere:
Isolate ATMs on segmented networks. Don't let them sit on the same network segment as teller terminals or corporate systems. Encrypt all communications between the ATM and back-end servers. Monitor for unusual cash dispensing—flag any transaction without proper authorization trail. Implement BIOS password protection and disable USB ports unless absolutely necessary. Run regular firmware updates on every connected machine.
Most institutions already know this. The problem is implementation. Updating 500 ATMs takes time, money, and coordination. It's easier to absorb $20,000 in losses than to replace 700 machines.
Frankly, that math needs to change. The FBI can issue all the advisories it wants. Real prevention happens when institutions decide that proactive security costs less than reactive remediation. Until then? Ploutus keeps cashing in.
Коли це почалося
Протягом 2025 року щось непомітно висмоктувало гроші з банкоматів по всій країні. Не через скімінг карток чи соціальну інженерію. Це було інакше. Більш скоординовано. Більш витончено. Згідно з нещодавнім звітом FBI про кібератаки, минулого року відбулося приблизно 700 атак ATM jackpotting, а в центрі нападу було шкідливе програмне забезпечення Ploutus. Загальний збиток? $20 мільйонів прямих втрат.
SecurityWeek детально розібрав подробиці того, що є однією з найбільш стійких, але недостатньо висвітлених кампаній шкідливого ПЗ, спрямованих проти найвразливіших кінцевих точок фінансового сектору.
Виявлення
FBI не натрапило на це випадково. Банки та оператори банкоматів помітили аномалії видачі готівки — автомати випльовували купюри без відповідних транзакцій або, що ще гірше, видавали валюту у відповідь на команди, які ніхто не давав. Коли достатня кількість установ повідомила про цю закономірність, пазл склався. Шкідливе ПЗ Ploutus. Відомий інструмент для jackpotting, який циркулює вже роками, але все ще знаходить жертв.
І ось що обурює в цьому конкретному попередженні FBI про кібератаки: це не була нова загроза. Ploutus існує щонайменше з 2013 року. Здатність цього шкідливого ПЗ безпосередньо взаємодіяти з програмним забезпеченням банкомата та ініціювати видачу готівки добре задокументована в колах безпеки.
То чому ж 700 автоматів піддаються йому за один рік?
Технічний аналіз
Ploutus працює шляхом отримання фізичного або мережевого доступу до банкомата, а потім розгортає код, який безпосередньо комунікує з системами управління видачею готівки. Він обходить звичайну верифікацію транзакцій. Без картки. Без PIN-коду. Просто команда: видати готівку. Зараз.
Шкідливе ПЗ зазвичай потребує або USB-доступу до внутрішніх компонентів автомата, або скомпрометованих мережевих облікових даних для доступу до операційної системи банкомата. Потрапивши всередину, воно вражає своєю простотою.
Що робить цю кампанію особливо небезпечною — це масштаб і координація. Сімсот інцидентів не трапляються випадково. Це свідчить про організованих суб'єктів, які проводять цілеспрямовану операцію, методично атакуючи банкомати в численних установах. Внутрішні системи попередження FBI про кібератаки фінансового сектору явно не виявляли всі випадки в реальному часі.
Справжнє питання: скільки додаткових атак залишилися незареєстрованими?
Оцінка збитків
$20 мільйонів. Хай це вляжеться на секунду.
Це реальні гроші, вилучені з реальних установ. Банки поглинають такі збитки, і витрати перетікають далі — скорочення послуг, вищі комісії, жорсткіші бюджети на безпеку, які часто йдуть на показову відповідність замість реального виявлення загроз.
Статистика кібератак FBI малює картину загрози, яка зберігається, бо вона працює. Це не атаки, що потребують zero-day експлойтів чи ресурсів на рівні держави. Це пряма експлуатація слабких практик безпеки банкоматів. Фізичний контроль. Сегментація мережі. Моніторинг.
Але ось що мене турбує: 700 атак означає сотні постраждалих установ. Проте це не викликало такої термінової, галузевої реакції, яку ми б побачили, якби загроза була більш екзотичною. Ransomware потрапляє в заголовки. Jackpotting? Його заносять у звіт.
Пом'якшення наслідків
Якщо ви керуєте парком банкоматів, новини FBI про кібератаки мають спонукати до негайних дій. Почніть з основ, які вже мали б бути на місці, але, очевидно, є не скрізь:
Ізолюйте банкомати в сегментованих мережах. Не залишайте їх у тому ж сегменті мережі, що й термінали касирів чи корпоративні системи. Шифруйте всі комунікації між банкоматом та серверами. Моніторте незвичайну видачу готівки — позначайте будь-яку транзакцію без належного ланцюга авторизації. Впровадьте захист пароля BIOS та вимкніть USB-порти, якщо це не є абсолютно необхідним. Регулярно оновлюйте прошивку на кожному підключеному апараті.
Більшість установ вже знають це. Проблема — у впровадженні. Оновлення 500 банкоматів потребує часу, грошей та координації. Легше поглинути $20 000 збитків, ніж замінити 700 автоматів.
Відверто кажучи, ця математика має змінитися. FBI може видавати скільки завгодно попереджень. Реальне запобігання відбувається, коли установи вирішують, що проактивна безпека коштує менше, ніж реактивне відновлення. А до того часу? Ploutus продовжує збирати готівку.