O grupo de ransomware Nova, uma operação cibercriminosa que utiliza um modelo de ransomware como serviço, reivindicou a responsabilidade por um ataque cibernético à KPMG Países Baixos, filial holandesa da empresa global de serviços profissionais KPMG International Cooperative. A alegação foi publicada em um site de vazamento da dark web em 23 de janeiro de 2026, acompanhada de um cronômetro regressivo que dá à KPMG um prazo de 10 dias para interagir com o grupo ou publicar dados de risco.
O anúncio da Nova cita especificamente a KPMG Holanda e sugere que dados foram exfiltrados durante o suposto incidente. A listagem do grupo no site de vazamento reflete uma tática comum em operações de ransomware e extorsão conhecida como extorsão dupla, onde atacantes combinam ameaças de divulgação de dados com potencial criptografia de sistemas para obrigar as vítimas a negociar. A entrada do local do vazamento incluía um temporizador de 10 dias que normalmente sinaliza quando os atacantes podem começar a publicar dados caso suas exigências não sejam atendidas.
A KPMG emitiu uma resposta pública à alegação, afirmando que sua infraestrutura de TI gerenciada e sistemas de segurança não foram comprometidos e enfatizando que leva a cibersegurança e monitoramento a sério. A declaração da empresa não confirma nenhuma perda ou violação de dados e reflete uma posição cautelosa enquanto a situação é avaliada. Neste momento, não há verificação independente de que a alegação da Nova corresponda a uma violação real dos sistemas da KPMG.
Detalhes sobre o suposto ataque, incluindo os tipos de dados envolvidos ou se houve alguma exfiltração de dados, não foram publicados pela Nova nem corroborados por pesquisadores terceirizados em cibersegurança. A ausência de amostras divulgadas publicamente ou evidências técnicas significa que a alegação permanece não verificada e sujeita a avaliação contínua. Em alguns casos de extorsão por ransomware, atores ameaçadores listam publicamente organizações em sites de vazamento antes de fornecer provas ou antes que uma negociação adicional tenha sucesso, tornando as alegações iniciais difíceis de avaliar sem confirmação forense.
Empresas de serviços profissionais como a KPMG são consideradas alvos atraentes para atores de ransomware porque possuem informações extensas de empresas e clientes, abrangendo documentos de auditoria, declarações de impostos e registros de consultoria. Atores ameaçadores podem perceber esses dados como de alto valor nas negociações, se conseguirem demonstrar posse. No entanto, sem verificação da alegação do grupo Nova ou divulgação pública de dados comprometidos, o status atual dos sistemas e informações da KPMG Países Baixos permanece incerto.
A situação continua a se desenvolver, e as declarações públicas da KPMG, juntamente com o monitoramento pelos serviços de cibersegurança, informarão se novas ações, como conclusões de investigação ou avisos regulatórios, surjam em resposta à denúncia. Autoridades e observadores do setor frequentemente tratam essas listas de extorsão como gatilhos para auditorias internas e caças a ameaças, mesmo quando as alegações inicialmente não são verificadas.