A ISH Tecnologia alertou para o retorno de uma modalidade de ataque conhecida como ATM Jackpotting, técnica em que criminosos utilizam um pendrive com malware para assumir o controle de caixas eletrônicos e liberar todo o dinheiro armazenado no equipamento.
De acordo com análises da equipe de inteligência da companhia, o método tem ganhado força por atuar diretamente no hardware dos terminais, ignorando completamente as barreiras tradicionais de segurança de rede. Nesse tipo de ataque, o criminoso acessa o compartimento técnico do equipamento e conecta um dispositivo USB contendo softwares maliciosos capazes de controlar o dispenser de cédulas.
Entre os malwares utilizados estão variantes conhecidas como Ploutus e Cutlet Maker, além de versões personalizadas criadas por grupos criminosos.
Segundo a empresa, além do esvaziamento completo do caixa eletrônico, os ataques podem causar prejuízos financeiros e danos reputacionais às instituições. O malware também pode comprometer o sistema operacional do terminal e criar backdoors persistentes, o que aumenta o risco de movimentação lateral caso o equipamento volte a se conectar à rede corporativa.
Ataques expõem fragilidade na segurança física
Para especialistas, o crescimento desse tipo de ataque revela limitações no modelo tradicional de defesa digital, que costuma concentrar investimentos na proteção de redes e sistemas corporativos.
”O sucesso do Jackpotting escancara uma falha estrutural profunda no modelo tradicional de defesa. Esse tipo de ataque uma verdadeira ‘humilhação da cibersegurança’. Ele prova de forma contundente que não adianta as organizações investirem milhões em soluções como SIEM, SOC, segmentação de rede ou firewalls de última geração se o endpoint físico não estiver adequadamente protegido”, explica Hugo Santos.
Segundo o especialista, quando o hardware não possui mecanismos de proteção adequados e o sistema operacional permite inicialização externa, toda a estratégia de segurança perimetral perde eficácia.
“Se o hardware não possui endurecimento e o sistema operacional permite um boot externo, toda a estratégia de segurança perimetral se torna irrelevante. O ataque é cego para o monitoramento de rede, IDS/IPS ou firewalls”, afirma.
Sistemas antigos ampliam o risco
Um dos fatores que contribuem para a retomada do ATM Jackpotting é a presença de sistemas operacionais antigos em parte dos caixas eletrônicos ainda em operação.
De acordo com a análise da ISH, muitos equipamentos utilizam versões embarcadas de Windows 7 Embedded ou até Windows XP Embedded, tecnologias consideradas defasadas para os padrões atuais de segurança.
O cenário é agravado pela ausência de criptografia de disco, falta de proteção de BIOS e inexistência de soluções modernas de detecção e resposta a ameaças, conhecidas como EDR.
Setores mais expostos
Embora grandes bancos sejam os alvos mais visíveis, a empresa aponta que outros segmentos também enfrentam risco elevado.
Operadoras terceirizadas de ATMs frequentemente lidam com restrições técnicas ou contratuais para modernizar seus equipamentos, criando pontos frágeis na cadeia de segurança. Já cooperativas de crédito de menor porte podem ter limitações orçamentárias que prolongam o uso de equipamentos antigos.
Outro fator de risco são terminais instalados em locais de grande circulação, como shoppings, supermercados e postos de combustível, onde a supervisão física costuma ser menor e facilita a ação rápida dos criminosos.
Medidas para reduzir o risco
A ISH recomenda que instituições financeiras e operadores de caixas eletrônicos adotem uma abordagem integrada de segurança, que inclua tanto controles digitais quanto proteção física dos equipamentos.
Entre as medidas sugeridas estão a desativação da inicialização por dispositivos externos, como USB ou CD, e a proteção da BIOS ou UEFI com senha forte. A empresa também indica a adoção de application whitelisting, permitindo a execução apenas de programas previamente autorizados.
Outras recomendações incluem criptografia total de disco, atualização constante dos sistemas operacionais e implantação de soluções EDR compatíveis com ambientes embarcados.
Medidas físicas também são consideradas essenciais, como sensores de violação do equipamento conectados a alertas em tempo real, segmentação da rede dos ATMs e auditorias periódicas de segurança, incluindo testes de intrusão física.
“O cibercrime é oportunista. Onde houver uma porta USB desprotegida e um sistema obsoleto, haverá um ataque. A modernização dos controles lógicos atrelados à segurança física não é mais uma opção, é a garantia da sobrevivência da operação de autoatendimento”, conclui Santos.
