Jackpotting in America: come il malware Ploutus sta trasformando gli ATM in macchine di contante per criminali
Sottotitolo: L’FBI lancia l’allarme mentre gli hacker prosciugano milioni dagli ATM statunitensi usando malware avanzato che aggira banche, carte e perfino i conti.
È un colpo da cyber-thriller: figure mascherate si avvicinano a un ATM, collegano un dispositivo e, pochi minuti dopo, la macchina sputa fuori contanti-niente carte, niente conti, niente allarmi. Non è finzione. Un’impennata di attacchi di “jackpotting” alimentati dal famigerato malware Ploutus ha spinto l’FBI a diramare un inedito allarme d’emergenza alle banche di tutto il Paese, avvertendo di un’ondata di furti agli ATM che aggira ogni misura di sicurezza tradizionale.
Fatti in breve
- Il malware Ploutus consente ai criminali di svuotare gli ATM senza bisogno di carte bancarie o conti dei clienti.
- Dal 2020, negli Stati Uniti sono stati tracciati quasi 1.900 episodi di jackpotting; oltre 20 milioni di dollari rubati solo nel 2025.
- Gli attaccanti sfruttano il livello software XFS dell’ATM e i sistemi Windows per dirottare direttamente i dispenser di contante.
- L’accesso fisico è fondamentale: chiavi generiche, dispositivi USB e strumenti remoti come AnyDesk vengono usati per installare il malware.
- L’FBI sollecita azioni immediate per rafforzare la sicurezza degli ATM, sia fisica sia digitale.
Dentro il manuale operativo di Ploutus: anatomia di un colpo moderno agli ATM
La recente ondata di attacchi ha messo in luce una vulnerabilità inquietante nel cuore dell’infrastruttura bancaria statunitense. Ploutus, un ceppo sofisticato di malware osservato per la prima volta in America Latina, si è evoluto per sfruttare il livello eXtensions for Financial Services (XFS)-il ponte software tra il computer di un ATM e l’hardware che eroga il contante. Invece di appoggiarsi ad applicazioni bancarie legittime, Ploutus impartisce i propri comandi, ordinando all’ATM di rilasciare denaro su richiesta, aggirando completamente il processo di autorizzazione della banca.
Il copione degli attaccanti è allarmantemente semplice ma efficace. Ottenere accesso fisico è spesso la parte più difficile, ma molti ATM utilizzano ancora serrature e chiavi standard facilmente acquistabili online. Una volta all’interno, i criminali rimuovono il disco rigido, installano Ploutus-talvolta sostituendolo con un nuovo disco già caricato con il malware-oppure usano chiavette USB e tastiere esterne per preparare l’attacco. In alcuni casi, strumenti di accesso remoto come AnyDesk o TeamViewer vengono sfruttati per controllare l’ATM a distanza.
Il malware trasforma l’ATM in un erogatore di contante “canaglia” sotto controllo criminale, eseguendo prelievi rapidi in pochi minuti. Prendendo di mira la macchina stessa, anziché i conti dei clienti, questi attacchi restano invisibili finché non scompaiono somme ingenti. L’FBI osserva che Ploutus è altamente adattabile e richiede modifiche minime per infettare diversi modelli di ATM che girano su sistemi Windows.
Le tracce digitali lasciate includono file sospetti come “Newage.exe”, “LevantaIto.exe” e “Anydesk1.exe”, oltre a log di sistema alterati. L’FBI ha pubblicato elenchi di firme malware note e invita le banche a confrontare il software dei propri ATM con baseline verificate e firmate crittograficamente.
Le banche riusciranno a tenere il passo?
Con oltre 700 attacchi e decine di milioni persi solo nel 2025, l’allerta d’emergenza FLASH dell’FBI chiede un’azione urgente. Le raccomandazioni includono la sostituzione delle serrature predefinite, l’installazione di barriere e sensori aggiuntivi, la cifratura dei dischi rigidi e il monitoraggio di dispositivi o software non autorizzati. Le banche sono inoltre incoraggiate ad abilitare lo spegnimento automatico degli ATM quando viene rilevata attività sospetta.
Riflessione
Mentre i cybercriminali rivoltano gli ATM contro le stesse banche che servono, le istituzioni finanziarie americane si trovano davanti a una realtà amara: la guerra per il contante fisico ora si combatte nelle ombre digitali. Solo una combinazione di vigilanza, tecnologia e sicurezza vecchio stile può tenere a bada la prossima squadra di jackpotting.
WIKICROOK
- Jackpotting: Il jackpotting è un attacco informatico in cui gli hacker usano malware o hardware per costringere gli ATM a erogare tutto il contante, aggirando i controlli di sicurezza.
- Ploutus: Ploutus è un malware avanzato per ATM che consente agli attaccanti di erogare contante e cancellare le prove, rappresentando una grave minaccia per le istituzioni finanziarie.
- XFS (eXtensions for Financial Services): XFS è un framework software che standardizza la comunicazione tra ATM e sistemi bancari, consentendo alle banche un’integrazione dei dispositivi sicura ed efficiente.
- Remote: In cybersecurity, “remote” significa controllare o accedere ai dispositivi da lontano, spesso via internet, usando software dedicato. Richiede controlli di sicurezza robusti.
- Gold image: Una gold image è una copia master sicura e verificata di software e configurazioni, usata per distribuire sistemi coerenti e a prova di manomissione e per rilevare modifiche non autorizzate.




