米司法省(DOJ)は、Ploutusマルウェアを用いて実行された一連のATM窃盗に関連し、数十人を起訴した。司法省は、2つの連邦大陪審が合計54人の被告に対する起訴状を提出したと発表しており、検察は、被告らが全国のATMを「空にする」ことが可能なPloutusの亜種の開発および展開に関与していたとみている。
今月初めに封印が解かれた起訴状の一つは、22人のグループに関するものだ。捜査当局によれば、2024年2月から2025年12月の間に、彼らはATMに対して少なくとも63件の攻撃を実行、または試みており、そのうち54件は信用組合が運用する機器に関するものだった。2つ目の起訴状は10月に提出され、今週公表されたもので、同一スキームに関連する犯罪で告発された追加の32人の被告が名指しされている。
司法省は、共謀者らが、米国務省により最近、外国テロ組織に指定されたベネズエラの犯罪組織「トレン・デ・アラグア(Tren de Aragua)」とつながりがあると主張している。この発表は、ドナルド・トランプ政権によるベネズエラ政府への圧力が再び強まっていることと時期を同じくする。ホワイトハウスは、ベネズエラ指導部とトレン・デ・アラグアの関係を公に主張している一方、4月に流出した米情報機関のメモは、そうしたつながりに疑義を呈していた。事件資料で名前が挙がっている人物のうち、少なくとも1人(ヒメナ・ロミナ・アラヤ・ナバロ)はベネズエラ国籍であることが確認されているが、残りの被告の国籍は公表されていない。
捜査当局は、22人グループだけで少なくとも540万ドルを盗み、さらに140万ドルを奪おうとして失敗したと見積もっている。金融機関の中には1社あたり10万ドル超の損失を被ったところもあるとされ、ネブラスカ州カーニーのある信用組合では約30万ドルの損失が発生した。検察は、典型的な作戦は高度に連携していたと説明している。チームは事前に適切なATMを特定し、下見(偵察)を行い、機器の上部区画を開け、その後、警報が作動したか、警察が対応したかを確認するため近くで待機したという。
警報が上がらなければ、攻撃者は複数の方法でマルウェアのインストールを進めた。記憶装置を取り外してそこへ直接悪性コードを書き込む、Ploutusが事前に感染したドライブと交換する、あるいはUSBフラッシュドライブなどの外部媒体を接続して感染を展開する、といった手口である。当局は、攻撃には物理的アクセスが必要だったと強調する。記憶装置(HDDまたはSSD)を取り外し、侵害し、再装着しなければならなかった。設置後、PloutusはATMのセキュリティ制御を回避でき、その後、現金を払い出させるためのコマンドが送信された。紙幣はカセットから吐き出され、共犯者は機器を監視しつつ、「サイレント」な改ざんセンサーの存在を確認した。
事件資料には具体的な事案が記されており、例えば2025年3月にネブラスカ州オマハのATMから同グループが7万9200ドルを引き出したとされる窃盗が含まれる。起訴の発表にあたり司法省は、セキュリティ研究者や政府機関が、Ploutusファミリーについて約10年にわたり警告してきたと指摘した。Googleの研究者は以前、これを彼らが遭遇した中でも最も高度なATMマルウェアの一つだと説明している。Ploutusは2013年にSymantecが初めて特定し、その後複数回の進化を遂げてきた。初期の亜種はメキシコで使用され、接続したキーボード、さらにはSMS経由でATMから現金を引き出すことを可能にしたが、当時としては前例のない手法だった。
長年にわたり、Ploutusは複数メーカーのATMに対して展開されており、Diebold NixdorfのシステムやKaligniteプラットフォームも含まれる。Diebold Nixdorf自身も、メキシコおよび米国での窃盗に用いられたPloutus亜種について、2017年と2018年に警告を発している。捜査当局によれば、攻撃者はATMの上部区画にアクセスするためのマスターキー、またはデバイスを接続したり内部コンポーネントに到達したりするために錠をこじ開ける能力のいずれかを必要としていたという。さらに彼らは、このマルウェアが侵入の痕跡を消去できると付け加えている。QualysのThreat Research Unitの研究者は、Ploutusは過去12年間にわたり継続的に進化し、新たな機能を蓄積するとともに、ATMのセキュリティモデルを意図的に研究することで、幅広いATMプラットフォームおよびWindowsのバージョンとの互換性を獲得してきたと述べている。
米連邦検事のレスリー・ウッズ氏は、検察によれば、盗まれた現金は物理的な攻撃を実行した者と組織の上層部との間で分配されていたと付け加えた。
翻訳元: https://meterpreter.org/the-40m-jackpot-doj-charges-54-in-nationwide-ploutus-atm-malware-blitz/
