De Nova-ransomwaregroep, een cybercriminele operatie die gebruikmaakt van een ransomware-as-a-service-model, heeft de verantwoordelijkheid opgeëist voor een cyberaanval op KPMG Nederland, de Nederlandse tak van het wereldwijde professionele dienstverleningsbedrijf KPMG International Cooperative. De claim werd op 23 januari 2026 geplaatst op een dark-web leksite, vergezeld van een afteltimer die KPMG een deadline van 10 dagen geeft om contact te maken met de groeps- of risicodatapublicatie.
De aankondiging van Nova noemt specifiek KPMG Nederland en suggereert dat gegevens tijdens het vermeende incident zijn geëxfiltrerd. De vermelding van de groep op de leksite weerspiegelt een veelgebruikte tactiek in ransomware- en afpersingsoperaties, bekend als dubbele afpersing, waarbij aanvallers dreigingen van gegevensvrijgave combineren met mogelijke versleuteling van systemen om slachtoffers te dwingen te onderhandelen. De vermelding op de leksite bevatte een timer van 10 dagen die doorgaans aangeeft wanneer aanvallers mogelijk data publiceren als aan hun eisen niet wordt voldaan.
KPMG heeft een publieke reactie op de claim uitgegeven, waarin wordt gesteld dat haar beheerde IT-infrastructuur en beveiligingssystemen niet zijn gecompromitteerd en benadrukt dat het cybersecurity en monitoring serieus neemt. De verklaring van het bedrijf bevestigt geen dataverlies of datalek en weerspiegelt een voorzichtige houding tijdens de beoordeling van de situatie. Op dit moment is er geen onafhankelijke bevestiging dat Nova’s claim overeenkomt met een daadwerkelijke inbreuk op KPMG-systemen.
Details over de vermeende aanval, waaronder de soorten betrokken gegevens of of er sprake is geweest van data-exfiltratie, zijn niet door Nova gepubliceerd of bevestigd door externe cybersecurityonderzoekers. Het ontbreken van openbaar vrijgegeven monsters of technisch bewijs betekent dat de claim onbevestigd blijft en onderhevig aan voortdurende evaluatie wordt onderworpen. In sommige afpersingszaken door ransomware vermelden dreigingsactoren organisaties publiekelijk op leksites voordat ze bewijs leveren of voordat verdere onderhandelingen succesvol zijn, waardoor de eerste claims moeilijk te beoordelen zijn zonder forensische bevestiging.
Professionele dienstverleningsbedrijven zoals KPMG worden beschouwd als aantrekkelijke doelwitten voor ransomware-actoren omdat zij uitgebreide bedrijfs- en klantinformatie bezitten, variërend van auditwerkpapieren, belastingaangiften tot adviesdocumenten. Dreigingsactoren kunnen dergelijke gegevens als zeer waardevol zien in onderhandelingen als ze bezit kunnen aantonen. Echter, zonder verificatie van de claim van de Nova-groep of publieke openbaarmaking van gecompromitteerde gegevens, blijft de huidige status van de systemen en informatie van KPMG Nederland onzeker.
De situatie blijft zich ontwikkelen en de publieke verklaringen van KPMG, samen met monitoring door cybersecurityservices, zullen bepalen of er verdere acties, zoals onderzoeksbevindingen of regelgevende kennisgevingen, naar aanleiding van de claim komen. Autoriteiten en waarnemers uit de industrie beschouwen dergelijke afpersingslijsten vaak als triggers voor interne audits en dreigingszoektochten, zelfs wanneer claims aanvankelijk niet zijn geverifieerd.