Pesquisadores de cibersegurança descobriram o que dizem ser o nono malware focado em Sistemas de Controle Industrial (ICS), usado em um ataque cibernético disruptivo contra uma empresa de energia na cidade ucraniana de Lviv, este ano. O Malware FrostyGoop foi descrito como a primeira cepa a usar diretamente comunicações Modbus TCP para sabotar redes de tecnologia operacional (OT). Ele foi descoberto em abril de 2024.

O FrostyGoop é um malware específico para ICS escrito em Golang que pode interagir diretamente com Sistemas de Controle Industrial (ICS) usando Modbus TCP na porta 502. Acredita-se que o malware, projetado principalmente para atingir sistemas Windows, tenha sido usado para atacar controladores ENCO com a porta TCP 502 exposta à internet. Não foi vinculado a nenhum ator de ameaça ou cluster de atividade previamente identificado.

Ele possui a capacidade de ler e escrever em registros de retenção de dispositivos ICS contendo entradas, saídas e dados de configuração. Ele também aceita argumentos de execução de linha de comando opcionais, usa arquivos de configuração formatados em JSON para especificar endereços IP alvo e comandos Modbus, e registra a saída em um console e/ou arquivo JSON.

O incidente que visou a empresa de energia do distrito municipal resultou na perda de serviços de aquecimento para mais de 600 edifícios de apartamentos por quase 48 horas. Os cibercriminosos enviaram comandos Modbus para os controladores ENCO, causando medições imprecisas e mau funcionamento do sistema. A remediação levou quase dois dias.