Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 081

ATM Jackpotting

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que ATM Jackpotting ?

ATM JackpottingAttaque qui force le distributeur d'un GAB à débiter tout son cash, soit par accès physique au top box, soit par compromission du réseau bancaire.


Le jackpotting de GAB a été démontré publiquement par le regretté Barnaby Jack à Black Hat 2010, où il a fait cracher du cash à des machines Tranax et Triton dans une démonstration qu'il a baptisée « Jackpotting ». Les attaques modernes se répartissent en deux familles.

Jackpotting physique

L'équipe ouvre le top box du GAB (souvent avec une clé volée ou universelle), déconnecte le distributeur du PC en marche et y branche un appareil attaquant — un portable, un Raspberry Pi ou un endoscope médical pour atteindre le câble. Un malware comme Ploutus.D, Cutlet Maker (vendu en crimeware-as-a-service sur le dark web pour environ 5 000 $) ou WinPot dialogue alors avec le distributeur via le middleware XFS (eXtensions for Financial Services), en émettant des commandes de distribution qui vident chaque cassette en quelques minutes. La première vague de jackpotting confirmée aux États-Unis a frappé en janvier 2018 (alertes du Secret Service / Diebold Nixdorf).

Cash-out par le réseau

flowchart TD
  A[Spear-phishing d'un employé de banque] --> B[Point d'appui dans le réseau bancaire]
  B --> C[Atteindre le serveur du<br/>switch de paiement AIX/Windows]
  C --> D[Injecter Trojan.FastCash<br/>dans le processus du switch]
  D --> E[La mule insère une carte<br/>à un GAB à l'étranger]
  E --> F[La demande de retrait atteint<br/>le switch compromis]
  F --> G[Le malware forge<br/>une autorisation ISO 8583]
  G --> H[Le GAB débite le cash ;<br/>le solde réel du compte reste intact]

FASTCash, mené par le groupe Lazarus/APT38 (Hidden Cobra / BeagleBoyz) lié à la RPDC, compromet le serveur applicatif du switch de paiement d'une banque et forge des messages d'autorisation ISO 8583 pour que des cartes mules retirent du cash que le compte ne peut couvrir. La CISA, le FBI et le Trésor l'ont détaillé en octobre 2018 ; lors d'un seul incident en 2017, du cash a été retiré de GAB dans plus de 30 pays simultanément, et un incident de 2018 a couvert 23 pays, avec des pertes totales estimées à des dizaines de millions de dollars.

Défenses

Capteurs physiques et serrures renforcées sur le top box ; mots de passe BIOS et chiffrement intégral du disque ; allowlisting applicatif sur l'OS du GAB ; firmware du distributeur signé et authentifié, et chiffrement de bout en bout XFS 3.0+ entre le PC et le distributeur ; ainsi que segmentation, MFA et authentification des messages (MAC) sur la liaison GAB-switch.

Exemples

  1. 01

    Des mules utilisant le kit MaaS Cutlet Maker vident des GAB d'Europe de l'Est en 2017-2018.

  2. 02

    Le schéma FASTCash de Lazarus envoie des messages d'autorisation pour drainer plus de 100 millions USD de GAB.

Questions fréquentes

Qu'est-ce que ATM Jackpotting ?

Attaque qui force le distributeur d'un GAB à débiter tout son cash, soit par accès physique au top box, soit par compromission du réseau bancaire. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Que signifie ATM Jackpotting ?

Attaque qui force le distributeur d'un GAB à débiter tout son cash, soit par accès physique au top box, soit par compromission du réseau bancaire.

Comment se défendre contre ATM Jackpotting ?

Les défenses contre ATM Jackpotting combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de ATM Jackpotting ?

Noms alternatifs courants : Jackpotting, Cash-out.

Termes liés