Nova fidye yazılımı grubu, fidye yazılımı hizmet olarak model kullanan bir siber suç operasyonu, küresel profesyonel hizmetler firması KPMG International Cooperative’in Hollanda şubesi KPMG Hollanda’ya yönelik bir siber saldırının sorumluluğunu üstlendi. İddia, 23 Ocak 2026’da bir karanlık web sızıntı sitesinde yayınlandı ve KPMG’ye grupla etkileşim kurması veya veri yayınlama riski için 10 günlük bir son tarih veren bir geri sayım saygıcısı eşlik edildi.
Nova’nın açıklamasında KPMG Hollanda’nın adı açıkça belirtildiği ve iddia edilen olay sırasında verilerin sızdırıldığına dair ima ediliyor. Grubun sızıntı sitesine yer alması, fidye yazılımı ve şantaj operasyonlarında çifte şantaj olarak bilinen yaygın bir taktiği yansıtıyor; burada saldırganlar, veri ifşa tehditlerini sistemlerin potansiyel şifrelenmesiyle birleştirerek mağdurları müzakere etmeye zorlayordu. Sızıntı sitesi girişinde, genellikle saldırganların talepleri karşılanmazsa veri yayınlamaya başlayabileceklerini bildiren 10 günlük bir zamanlayıcı vardı.
KPMG, bu iddiaya kamuoyuna yanıt vererek, yönetilen BT altyapısı ve güvenlik sistemlerinin ele geçirilmediğini belirtti ve siber güvenlik ile izlemeyi ciddiye aldığını vurguladı. Şirketin açıklaması herhangi bir veri kaybı veya ihlali doğrulamaz ve durum değerlendirilirken temkinli bir tutum sergilemektedir. Şu aşamada, Nova’nın iddiasının KPMG sistemlerinin gerçek bir ihlali ile ilgili bağımsız bir doğrulama yoktur.
İddia edilen saldırıyla ilgili detaylar, dahil edilen veri türleri veya herhangi bir veri sızdırmasının olup olmadığı dahil, Nova tarafından yayımlanmamış veya üçüncü taraf siber güvenlik araştırmacıları tarafından doğrulanmamıştır. Kamuya açık örneklerin veya teknik kanıtların olmaması, iddianın doğrulanmamış kalmasına ve sürekli değerlendirmeye tabi olmasına neden oluyor. Bazı fidye yazılımı şantaj vakalarında, tehdit aktörleri kanıt sunmadan veya daha fazla müzakere başarılı olmadan önce kuruluşları sızıntı sitelerinde kamuoyuna listeler; bu da ilk iddiaların adli onat olmadan değerlendirilmesini zorlaştırır.
KPMG gibi profesyonel hizmet firmaları, denetim çalışma kağıtları, vergi beyannameleri ve danışmanlık kayıtlarını kapsayan kapsamlı kurumsal ve müşteri bilgilerine sahip oldukları için fidye yazılımı aktörleri için cazip hedef olarak kabul edilir. Tehdit aktörleri, mülkiyetin kanıtlanabildiği takdirde bu verileri müzakerelerde yüksek değerli olarak algılayabilirler. Ancak, Nova grubunun iddiasının doğrulanması veya tehlikedeki verilerin kamuoyuna açıklanması olmadan, KPMG Hollanda’nın sistemlerinin ve bilgilerinin mevcut durumu belirsiz kalır.
Durum gelişmeye devam ediyor ve KPMG’nin kamuya açık açıklamaları ile siber güvenlik servislerinin izlemesi, iddiaya yanıt olarak soruşturma bulguları veya düzenleyici bildirimler gibi yeni önlemler çıkıp çıkmayacağını şekillendirecek. Yetkililer ve sektör gözlemcileri, iddialar başlangıçta doğrulanmamış olsa bile, bu tür şantaj listelerini iç denetimler ve tehdit arayışları için tetikleyici olarak görür.