12月18日,內布拉斯加州提起兩項起訴,指控54名委內瑞拉犯罪組織「阿拉瓜列車」(Tren de Aragua,簡稱TdA)成員涉嫌參與ATM提款攻擊。該組織被指控在美國各地的ATM機上部署了Ploutus惡意軟體的變種,並利用硬碟或外置USB非法提取現金。
Ploutus惡意軟體於2013年首次在墨西哥被發現,其攻擊目標是ATM提款模組。根據美國司法部數據顯示,自2020年以來,已有超過4,000萬美元透過ATM提款攻擊被盜。 TdA的幕後主使赫克托·魯斯滕福德·格雷羅·弗洛雷斯(Hector Rustenford Guerrero Flores)已被紐約起訴,但仍在逃,警方懸賞500萬美元緝拿他。
今年2月,司法部長帕梅拉·邦迪擴大了聯合特遣部隊「火神」的權限,以加強對TdA的應對。
從: 
一個ATM劫機集團被指控在美國各地釋放Ploutus惡意軟體
【社論】
此案揭示了高度組織化的犯罪活動的現實,即結合了實體入侵和網路攻擊。 ATM劫持案,這種最早於 2013 年在墨西哥被發現的犯罪手法,十多年後的今天,仍然對金融機構構成嚴重威脅。
Ploutus惡意軟體的技術特點在於其能夠直接向ATM機的提款模組發送指令。該惡意軟體基於.NET框架實現,並透過名為XFS(金融服務擴展)的中間件運行,XFS是ATM行業的標準。特別是,名為Ploutus-D的變種與KAL公司的Kalignite平台相容,理論上可以攻擊來自41家ATM廠商、分佈在80個國家的機器。
值得注意的是,這起犯罪既需要高超的技術,也需要膽大妄為。犯罪者偽裝成ATM機技術人員,檢查是否有監視攝影機和警報系統,然後更換硬碟或使用U盤植入惡意軟體。根據美國司法部統計,自2020年以來,ATM機劫持事件造成的損失總額已超過4,000萬美元,截至2025年8月,損失總額約4,073萬美元。然而,與「阿拉瓜列車」(Tren de Aragua)事件相關的具體損失明細尚未公佈。
這份起訴書的特別之處在於,它清楚地揭示了網路犯罪與恐怖主義融資之間的關聯。美國國務院於2025年2月20日將阿拉瓜火車公司(Tren de Aragua)列為外國恐怖組織(FTO)。據稱,該公司利用從自動櫃員機竊取的資金資助恐怖活動、人口販運、毒品走私和其他犯罪活動。這表明,金融犯罪造成的損失遠不止於經濟損失,還會對社會安全構成更廣泛的威脅。
在技術防禦方面,加強ATM機的實體安全最為重要。具體措施包括安裝感測器偵測機櫃的開關狀態、安裝監視攝影機、使用白名單系統控制軟體執行,以及限制對USB連接埠和外部設備的存取。然而,金融機構單憑自身措施所能達到的效果有限,因此需要產業內的資訊共享以及供應商對安全設計進行根本性審查。
從長遠來看,此類攻擊凸顯了現金處理基礎設施的脆弱性。推廣無現金支付是降低此類物理攻擊風險的一種方法,但同時,它也為新的網路攻擊打開了方便之門。隨著科技的進步,金融系統安全將持續面臨新的挑戰。
[術語]
ATM 大獎
這是一種攻擊方法,惡意攻擊者透過物理手段接近ATM機,安裝惡意軟體,並向提款模組發送未經授權的指令,強行從ATM機中取出大量現金。這種方法可以在不留下銀行帳戶提款記錄的情況下竊取現金。其名稱來自於吐出的現金看起來像老虎機的頭獎。
Ploutus惡意軟體
這是一個專門針對ATM機的惡意軟體家族,最快於2013年在墨西哥被發現。它以希臘財富之神冥王普路托(Pluto)的名字命名。此惡意軟體使用.NET框架實現,能夠直接控制ATM機的提款模組。目前存在諸如Ploutus-D之類的亞種,並且仍在不斷演變。
XFS(金融服務擴展)
XFS是ATM產業使用的一種標準中介軟體規範。它提供了一組API,用於將Windows作業系統與各種ATM硬體(例如提款機、讀卡機、密碼鍵盤等)連接起來。 Ploutus惡意軟體利用XFS漏洞來控制ATM機。
阿拉瓜火車 (TdA)
該犯罪組織於2000年代初在委內瑞拉托科隆監獄成立。最初只是一個監獄幫派,後來發展成為一個在美洲各地活動的國際犯罪網絡。 2025年2月20日,美國國務院將其列為外國恐怖組織(FTO)和特別指定的全球恐怖分子(SDGT)。
違反《反勒索及腐敗組織法》(RICO)
這是美國一項打擊組織犯罪的法律,對有組織犯罪活動規定了嚴厲的處罰,常用於起訴犯罪組織的頭目和成員。一旦被定罪,將面臨嚴厲的懲罰,包括最高20年的監禁和資產沒收。
聯合特遣部隊“火神”
美國於 2019 年成立了一個跨部門特別工作小組。最初的目標是消滅 MS-13 幫派,2025 年 2 月,司法部長帕梅拉·邦迪擴大了其職權範圍,將打擊阿拉瓜火車幫的措施也納入其中。
[參考連結]
美國司法部,內布拉斯加州地區檢察官辦公室(外部連結)
聯邦檢察官辦公室宣布了起訴書,並發布了新聞稿、起訴書詳情和圖片資料。
FireEye(現為 Mandiant) (外部)
網路安全公司,曾於 2017 年發布關於 Ploutus-D 惡意軟體的技術分析報告。該公司目前隸屬於谷歌。
KAL(Kalignite平台) (外部)
提供ATM軟體平台的公司。 Kalignite的平台被41家ATM供應商使用,涵蓋80個國家。
美國國土安全部調查局(HSI) (外部連結)
負責調查跨國犯罪組織的聯邦調查機構在此次行動中發揮了核心作用。
美國財政部外國資產管制辦公室(OFAC) (外部)
一個對恐怖組織和犯罪組織實施經濟制裁的機構。該機構已將與阿拉瓜火車公司有關的人員列為制裁目標。
[參考文章]
聯邦大陪審團起訴54人,指控他們參與一起與委內瑞拉恐怖組織有關的4,070萬美元巨額ATM提款詐騙案(外部連結)
對 ATM 巨額獎金事件的詳細情況進行了全面解釋,截至 2025 年 8 月,該事件造成的總損失約為 4,073 萬美元。
美國指控54人參與大規模ATM提款陰謀-資訊安全雜誌(外部連結)
該報告詳細介紹了 Ploutus 惡意軟體的技術特性、安裝方式以及相關指控。
美國司法部指控犯罪集團使用Ploutus惡意軟體入侵ATM機 | The Record (外部連結)
該報告詳細記錄了 2024 年 2 月至 2025 年 12 月期間發生的 63 起 ATM 爆鈔事件。
54人因涉嫌與委內瑞拉恐怖組織有關的全國性ATM提款詐騙案被起訴(外部連結)
12 月 9 日和 10 月 21 日提交的兩份起訴書的詳情,報告了惡意軟體開發商 Prometheus 的存在。
Ploutus ATM惡意軟體捲土重來-而且比以往任何時候都更危險 | ATM市場(外部連結)
他解釋了 Ploutus-D 的技術發展歷程,並指出其多功能性,使其能夠應用於其他公司製造的 ATM 機,只需進行極少的程式碼變更。
[編者註]
這一事件表明,網路犯罪不僅僅是技術問題,它與有組織犯罪和恐怖主義融資等現實世界的威脅密切相關。即使是我們每天使用的自動櫃員機,也可能成為複雜攻擊的目標。
您對金融基礎設施安全有何看法?隨著無現金交易的不斷增長,我們應該如何確保處理現金的系統安全?我們又該如何防範新型數位支付方式中的安全漏洞?我們非常期待聽到您的見解。
