Ransomwaregroep Nova heeft op vrijdag KPMG Nederland als slachtoffer geclaimd. De claim verscheen op een zogenoemde leak site, waarbij specifiek naar Nederland werd verwezen. Over de aard en omvang van de vermeende aanval is nog weinig bekend.
Hoewel KPMG wereldwijd actief is, claimt de Nova-hackersgroep enkel de Nederlandse tak te hebben gecompromitteerd. Dergelijke claims worden doorgaans ingezet om druk uit te oefenen op organisaties, die mogelijk al op de hoogte zijn van de aanval. Het is nog onduidelijk over welke specifieke data de criminelen beweren te beschikken. Nog belangrijker: we weten niet of de claim klopt. Desondanks laat Nova weten dat de data over 10 dagen online komt als KPMG niet betaalt.
Een officiële bevestiging of reactie vanuit KPMG ontbreekt vooralsnog. We hebben het bedrijf gevraagd om te reageren op de claim van Nova. Ook is niet bekend wanneer de aanval zou hebben plaatsgevonden of wat de exacte impact is, enkel dat het op vrijdag is ontdekt door de tracker ransomware.live.
Nova is de Clinical Diagnostics-plaag
De Nova-hackersgroep heeft al beruchte reputatie opgebouwd. In Nederland is de ransomware-aanval op laboratorium Clinical Diagnostics met grote afstand de bekendste actie van Nova. Dat incident trof uiteindelijk meer dan 850.000 mensen, voornamelijk vrouwen uit het bevolkingsonderzoek naar baarmoederhalskanker.
In september volgde een aanval op FysioRoadmap, waarbij gegevens van ruim 20.000 patiënten werden buitgemaakt. Nova’s werkwijze is een beruchte onder cybercriminelen, namelijk double extortion. Daarbij vindt er zowel versleuteling van systemen plaats als een dreigement dat gestolen data online komt of aan andere criminelen wordt doorverkocht. Die tactiek blijkt meermaals effectief. Clinical Diagnostics betaalde miljoenen aan losgeld, hoewel een deel van de data toch online verscheen. Overigens is dat relatief gangbaar, omdat de waarachtige gegevens bewijzen dat de hackers ook echt hun dreigement kunnen opvolgen met publicatie.
Afwachten op details
De claim op een leak site impliceert vaak dat er data is ontvreemd en versleuteld. Maar dit is nog niet zeker. KPMG heeft zich niet uitgelaten over de legitimiteit van de claim of de status van hun systemen. Daarom kunnen we verder niet speculeren over de claim en de potentiële getroffen systemen.
Zoals eerder geanalyseerd bij soortgelijke incidenten, ligt de uitdaging vaak in tijdige communicatie en transparantie. Voor nu blijft het wachten op een reactie van KPMG. De komende dagen zullen uitwijzen of Nova’s claim gegrond is en welke data mogelijk is buitgemaakt. Als we ervan uitgaan dat de claim klopt en KPMG geen losgeld betaalt, dan zou de data over 10 dagen online verschijnen.