Op vrijdag heeft de ransomwaregroep Nova KPMG Nederland als doelwit opgeëist. Deze claim werd geplaatst op een zogenaamde lekwebsite, waarbij specifiek naar Nederland werd verwezen. Er is nog weinig bekend over de aard en omvang van de vermeende aanval. Hoewel KPMG wereldwijd opereert, beweert Nova alleen de Nederlandse vestiging te hebben getroffen. Dergelijke claims worden vaak gebruikt om druk uit te oefenen op organisaties die mogelijk al op de hoogte zijn van de aanval. Het is onduidelijk welke specifieke gegevens de criminelen zeggen te hebben. Belangrijker is dat we niet weten of de claim waar is. Nova dreigt echter de gegevens over 10 dagen openbaar te maken als KPMG niet betaalt. Een officiële bevestiging of reactie van KPMG ontbreekt nog. We hebben het bedrijf om een reactie gevraagd. Het is ook onbekend wanneer de aanval plaatsvond of wat de exacte impact is, alleen dat het op vrijdag werd ontdekt door de tracker ransomware.live.

Nova heeft al een beruchte reputatie opgebouwd. In Nederland is de aanval op laboratorium Clinical Diagnostics de bekendste actie van Nova. Dit incident trof meer dan 850.000 mensen, voornamelijk vrouwen uit het bevolkingsonderzoek naar baarmoederhalskanker. In september volgde een aanval op FysioRoadmap, waarbij gegevens van ruim 20.000 patiënten werden gestolen. Nova's werkwijze staat bekend als double extortion, waarbij systemen worden versleuteld en gedreigd wordt gestolen data online te zetten of te verkopen. Deze tactiek is vaak effectief gebleken. Clinical Diagnostics betaalde miljoenen aan losgeld, hoewel een deel van de data toch online verscheen. Dit is relatief gebruikelijk, omdat de echte gegevens bewijzen dat de hackers hun dreigement kunnen waarmaken. De claim op een lekwebsite suggereert vaak dat er data is gestolen en versleuteld, maar dit is nog niet zeker. KPMG heeft zich niet uitgelaten over de legitimiteit van de claim of de status van hun systemen. Daarom kunnen we niet speculeren over de claim en de mogelijke getroffen systemen. Zoals eerder geanalyseerd bij soortgelijke incidenten, ligt de uitdaging vaak in tijdige communicatie en transparantie. Voor nu blijft het wachten op een reactie van KPMG. De komende dagen zullen uitwijzen of Nova's claim gegrond is en welke data mogelijk is buitgemaakt. Als de claim klopt en KPMG geen losgeld betaalt, zou de data over 10 dagen online verschijnen.