Il gruppo ransomware Nova, un’operazione informatica che utilizza un modello ransomware-as-a-service, ha rivendicato la responsabilità di un attacco informatico a KPMG Paesi Bassi, la filiale olandese della società globale di servizi professionali KPMG International Cooperative. La dichiarazione è stata pubblicata su un sito di fughe di notizie del dark web il 23 gennaio 2026, accompagnata da un timer che dà a KPMG una scadenza di 10 giorni per interagire con il gruppo o la pubblicazione dei dati di rischio.
L’annuncio di Nova nomina specificamente KPMG Paesi Bassi e implica che i dati siano stati esfiltrati durante il presunto incidente. L’inserimento del gruppo sul sito delle fughe di notizie riflette una tattica comune nelle operazioni di ransomware ed estorsione nota come doppia estorsione, in cui gli attaccanti combinano minacce di divulgazione dei dati con una potenziale crittografia dei sistemi per costringere le vittime a negoziare. L’ingresso del sito della fuga includeva un timer di 10 giorni che tipicamente segnala quando gli attaccanti potrebbero iniziare a pubblicare dati se le loro richieste non vengono soddisfatte.
KPMG ha rilasciato una risposta pubblica alla dichiarazione, affermando che la sua infrastruttura IT gestita e i sistemi di sicurezza non sono stati compromessi, sottolineando che prende molto sul serio la cybersecurity e il monitoraggio. La dichiarazione dell’azienda non conferma alcuna perdita o violazione dei dati e riflette una posizione cauta durante la valutazione della situazione. Al momento, non esiste una verifica indipendente che la richiesta di Nova corrisponda a una reale violazione dei sistemi KPMG.
I dettagli sull’attacco presunto, inclusi i tipi di dati coinvolti o se sia avvenuta qualche esfiltrazione di dati, non sono stati pubblicati da Nova né confermati da ricercatori di cybersecurity di terze parti. L’assenza di campioni pubblici o prove tecniche significa che l’affermazione rimane non verificata e soggetta a una valutazione continua. In alcuni casi di estorsione da ransomware, gli attori minacciosi elencano pubblicamente le organizzazioni sui siti di fuga prima di fornire prove o prima che ulteriori negoziazioni abbiano successo, rendendo difficile valutare le affermazioni iniziali senza conferme forense.
Società di servizi professionali come KPMG sono considerate bersagli attraenti per gli attori ransomware perché detengono informazioni aziendali e di clienti estese, che comprendono documenti di revisione, dichiarazioni fiscali e documenti di consulenza. Gli attori minacciosi possono percepire tali dati come di grande valore nelle negoziazioni se sono in grado di dimostrare il possesso. Tuttavia, senza la verifica della dichiarazione del gruppo Nova o la divulgazione pubblica dei dati compromessi, lo stato attuale dei sistemi e delle informazioni di KPMG Paesi Bassi rimane incerto.
La situazione continua a evolversi e le dichiarazioni pubbliche di KPMG, insieme al monitoraggio da parte dei servizi di cybersecurity, influenzeranno se emergeranno ulteriori azioni, come i risultati delle indagini o avvisi regolatori in risposta alla denuncia. Le autorità e gli osservatori del settore spesso trattano tali elenchi di estorsione come motivi per audit interni e caccia alle minacce, anche quando le affermazioni inizialmente non sono verificate.