Enquanto empresas investem pesado em firewall, EDR, SOC 24/7 e inteligência contra ameaças online, um movimento silencioso está chamando atenção: criminosos estão voltando ao básico.
Em vez de explorar vulnerabilidades remotas pela internet, eles estão indo até o local, abrindo caixas eletrônicos e infectando as máquinas com um simples pendrive. Parece roteiro de filme antigo, mas é realidade — e está acontecendo agora.
Segundo alertas recentes do Federal Bureau of Investigation, houve um aumento expressivo nos ataques de “jackpotting” nos Estados Unidos. Desde 2020, foram registrados cerca de 1.900 casos, sendo aproximadamente 700 apenas em 2025, com prejuízos superiores a US$ 20 milhões.
Mas o que isso tem a ver com a sua empresa? É isso que você irá descobrir no artigo de hoje!
O que é “jackpotting” e como ele funciona na prática
O termo “jackpotting” descreve ataques em que criminosos forçam um caixa eletrônico a liberar dinheiro sem cartão, sem autenticação e sem autorização do banco.
Na prática, o processo costuma seguir um roteiro simples — e justamente por isso, perigoso:
- O criminoso acessa fisicamente o terminal.
- Utiliza chaves universais de manutenção (muitas circulam ilegalmente na internet).
- Abre o compartimento interno do caixa.
- Conecta um pendrive ou substitui o disco rígido.
- Instala um malware específico.
- Reinicia o equipamento.
- O caixa começa a liberar cédulas sob comando.
Um dos malwares mais conhecidos nesse tipo de ataque é o Ploutus, identificado inicialmente na América Latina e depois espalhado para os EUA e Europa. Ele se comunica diretamente com a camada XFS (eXtensions for Financial Services), padrão usado por fabricantes para controlar hardware bancário. Ou seja: o malware fala “a língua” do equipamento.
O resultado? A máquina obedece.
Onde está o verdadeiro problema: infraestrutura legada
A raiz da vulnerabilidade não está apenas no pendrive. Na verdade, ela começa na tecnologia ultrapassada. Muitos caixas eletrônicos ainda operam com o Windows 7, cujo suporte oficial foi encerrado pela Microsoft em janeiro de 2020.
Quando um sistema sai de suporte, ele deixa de receber atualizações de segurança, correções de falhas críticas e novos patches contra vulnerabilidades descobertas. Na prática, isso significa que qualquer brecha identificada após o fim do suporte permanece aberta — conhecida por pesquisadores, explorada por criminosos e, muitas vezes, ignorada por quem ainda depende daquela tecnologia no dia a dia. Assim, com o passar do tempo, o que antes era apenas um sistema antigo se transforma em um ponto de entrada previsível.
Segundo relatórios da própria Microsoft, sistemas fora de suporte se tornam alvos preferenciais porque qualquer falha descoberta deixa de ser corrigida oficialmente.
E aqui entra um ponto estratégico: caixas eletrônicos são, essencialmente, computadores conectados a sistemas críticos. Assim como servidores corporativos, estações de trabalho ou máquinas industriais.
A diferença? Muitas vezes eles ficam esquecidos no orçamento de TI.
A lição que vai além dos bancos
Talvez sua empresa não opere caixas eletrônicos. Mas provavelmente utiliza:
- Servidores locais antigos
- Equipamentos industriais conectados
- Terminais de autoatendimento
- Dispositivos IoT
- Computadores com sistemas desatualizados
- Softwares que “ainda funcionam”, mas não recebem suporte
O jackpotting mostra algo importante: nem todo ataque acontece pela internet.
Existe uma tendência crescente chamada “ataque híbrido”, que combina acesso físico e exploração digital. Segundo relatórios da IBM, o custo médio global de uma violação de dados ultrapassa US$ 4 milhões, e ataques que envolvem vetores múltiplos tendem a ser mais caros e difíceis de detectar.
Além disso, o relatório “Data Breach Investigations Report” da Verizon aponta que falhas de configuração, credenciais comprometidas e sistemas desatualizados continuam entre os principais vetores de ataque.
Por que empresas ignoram esse risco?
Porque o equipamento ainda funciona. Esse é o argumento mais comum.
“Está rodando.”
“Não deu problema até hoje.”
“Atualizar vai custar caro.”
Mas o que muitas lideranças esquecem é que segurança não é sobre funcionamento — é sobre exposição.
Um servidor desatualizado pode funcionar perfeitamente e, ainda assim, estar vulnerável. Um terminal físico pode parecer seguro e, ainda assim, ser aberto com uma chave universal comprada na dark web. Um dispositivo pode não ter acesso direto à internet e, ainda assim, ser infectado via USB.
O jackpotting escancara isso: o elo fraco não é necessariamente o mais complexo. Muitas vezes, é o mais simples.
Segurança não é só firewall
Quando analisamos casos como esse, fica claro que cibersegurança não se resume a instalar antivírus ou manter um firewall ativo. Segurança real envolve governança, atualização contínua de sistemas, controle de acesso físico aos equipamentos, inventário detalhado de ativos, políticas estruturadas de patching e segmentação adequada de rede. É um conjunto de práticas integradas que formam o que chamamos de maturidade digital.
Empresas que tratam segurança como estratégia — e não como ferramenta — entendem que qualquer ativo conectado, seja um servidor em nuvem ou um terminal físico dentro da operação, faz parte da mesma superfície de ataque. Hoje, já não existe aquela divisão entre “problema da TI” e “problema operacional”, porque tudo está interligado. Nesse contexto, quando a organização não enxerga essa interdependência, acaba criando pontos cegos que podem ser explorados com muito mais facilidade do que se costuma imaginar.
O risco invisível: você pode já estar comprometido
Um dos pontos mais preocupantes em ataques físicos com malware é o tempo de permanência. Muitas empresas só descobrem que foram comprometidas semanas ou meses depois.
Enquanto isso, o invasor:
- Mapeia a rede
- Escala privilégios
- Coleta dados
- Prepara um ataque maior
O jackpotting é apenas a face visível do problema. O mesmo tipo de negligência que permite um ataque a um caixa eletrônico pode permitir ransomware, vazamento de dados e muito mais.
O que a sua empresa precisa avaliar agora
Por isso, se você lidera uma empresa — seja de tecnologia, indústria, varejo ou serviços — precisa olhar para três pontos críticos:
- Quantos sistemas legados ainda estão ativos no seu ambiente?
- Você tem visibilidade real da saúde digital dos seus ativos físicos e lógicos?
- Existe monitoramento contínuo ou apenas reações quando algo dá errado?
O cenário atual mostra que os ataques estão se adaptando. Com o aumento das barreiras digitais, muitos ataques passaram a acontecer por outros pontos da operação. Em vez de tentar invadir pela internet, o foco pode estar no equipamento físico ou em vulnerabilidades internas menos monitoradas.
Lembre-se: segurança não é sobre onde o ataque começa, é sobre onde ele pode terminar.
O caso dos caixas eletrônicos é um alerta claro: infraestrutura desatualizada + baixa visibilidade = risco financeiro real.
A diferença entre uma empresa que sofre prejuízo e outra que evita o ataque geralmente não está no tamanho, está no nível de maturidade digital.
Na Immunity Intelligence, desenvolvemos um teste de avaliação de saúde digital capaz de identificar:
- Vulnerabilidades ativas
- Sistemas desatualizados
- Exposição a ataques físicos e lógicos
- Falhas de configuração
- Riscos invisíveis na sua infraestrutura
Não se trata de gerar medo. Trata-se de gerar clareza.
Antes que alguém conecte um “pendrive invisível” no seu negócio, vale a pena saber exatamente qual é o seu nível de exposição hoje.
Se você quer entender como está a saúde digital da sua empresa — e se já existe algum sinal de comprometimento — fale com nosso time e realize o diagnóstico.
