Ploutusマルウェアが関与した一連のATM窃盗をめぐり、司法省は数十人を起訴した。
DOJは木曜日、Ploutusマルウェアの亜種を開発・展開するキャンペーンに関与したとされる54人を、連邦大陪審による2件の起訴状で起訴したと発表した。これにより、彼らは米国各地のATMから数十万ドルを盗み出せるようになっていたという。
今月初めに開封された1件の起訴状では、検察は2024年2月から2025年12月の間に、22人のグループが少なくとも63件のATMジャックポット(大量現金引き出し)を実行または未遂したと述べた。そのうち54件は信用組合の機械が標的だった。もう1件の起訴状は10月に提出され、今週開封されたもので、ATMスキームに関連する犯罪で別の32人が起訴された。
当局は、この共謀のメンバーがトレン・デ・アラグア(Tren de Aragua)に属していると主張した。同組織は、国務省により最近、外国テロ組織に指定されたベネズエラのギャングだ。
起訴状の開封は、トランプ政権がベネズエラ政府への圧力を強めている時期と重なる。同政権は、同国の指導者がトレン・デ・アラグアとつながりを持つと主張してきた。4月に米政府機関から出た流出した情報メモは、ギャングとベネズエラ政府の間にいかなる関連もないとして異議を唱えていた。
起訴状で言及された人物のうち少なくとも1人、ヒメナ・ロミナ・アラヤ・ナバロはベネズエラ人であることが確認されているが、他の被告の国籍は不明だ。
司法省によると、22人の被告グループによって少なくとも540万ドルが盗まれ、さらに140万ドルを盗もうとして失敗したという。攻撃を受けた金融機関のいくつかは10万ドル超の損失を被り、ネブラスカ州カーニーの少なくとも1つの信用組合は約30万ドルの損失を被った。
彼らによれば、ギャングのメンバーはグループで行動し、まず銀行や信用組合のATMを特定したうえで、マルウェアを使って現金を排出させたという。
「この偵察の後、グループはATMのフードまたは扉を開け、その後、警報や法執行機関の対応を引き起こしたかどうかを見るため近くで待機した」と検察は述べた。
「その後グループは、ハードドライブを取り外してマルウェアを直接インストールする、Ploutusマルウェアを事前にロードしたハードドライブに交換する、またはUSBメモリなどの外部デバイスを接続してマルウェアを展開する、といった方法でATMにマルウェアをインストールする手順を踏んだ。」
検察は、グループのメンバーは「ATMに物理的にアクセスし、ATMからデータ保存装置(ハードドライブまたはソリッドステートドライブと呼ばれる)を取り外し、データ保存装置に悪意のあるコードをインストールし、その後データ保存装置をATMに再挿入する」必要があったと述べた。
このマルウェアはATMのセキュリティシステムを回避でき、「dispense(払い出し)」コマンドがATMに送られることで現金が出てくるようになる。計画の一部のメンバーはATMを監視し、サイレント・フード・アラームがあるかどうかを確認していた。
起訴状には複数の事案が列挙されており、2025年3月にはギャングのメンバーがネブラスカ州オマハのATMから7万9,200ドルを盗んだ事件が含まれている。
専門家や政府機関は、Ploutusマルウェアの亜種について約10年にわたり警告してきた。Googleの研究者は以前、同マルウェアについて、彼らが見てきた中で「最も高度なATMマルウェア・ファミリーの一つだ」と述べていた。
PloutusのATMマルウェアは2013年にSymantecによって初めて検出され、その後いくつかの更新を経てきた。
2013年にはメキシコ全土のATMに対して最初に展開され、犯罪者はATMに外付けキーボードを取り付けるか、SMSメッセージを送ることで機械を空にできた。Googleによれば、これはそれまで見られなかった手口だった。
Ploutusは、Diebold Nixdorf、Kalignite Platformなど、さまざまなATMベンダーを標的にするために使われてきた。Diebold Nixdorfは2017年と2018年に、メキシコおよび米国各地のATMから現金を盗むためにマルウェアの亜種が使われているとして複数の警告を出した。
窃盗犯は、ATM上部を開けるためのマスターキーが必要か、あるいは鍵をピッキングできなければ、物理キーボードやデバイスを機械に取り付けられない。使用されるマルウェアは、攻撃の証拠を削除することも可能だ。
Qualys Threat Research Unitのサイバーセキュリティ専門家、マユレシュ・ダニ氏は、Ploutusは過去12年間に公開された複数の亜種を通じて継続的に進化しており、それぞれが高度な機能を追加してきたと述べた。
「このマルウェアは、ATMのセキュリティモデルを意図的にリバースエンジニアリングした結果に基づいて段階的に改良され、現在ではさまざまなATMプラットフォームやWindowsオペレーティングシステムに対応している」とダニ氏は述べた。
連邦検事のレスリー・ウッズ氏は、ATMから盗まれた金は、物理的な攻撃を実行した者たちとギャングの上級指導者の間で分配されたと主張した。
月曜日、ベネズエラは、国営石油会社に対するサイバー攻撃で業務が数日間にわたり停滞しているとして、米国を非難した。
翻訳元: https://therecord.media/doj-charges-gang-malware-ploutus
