Nova ransomware colpisce KPMG Paesi Bassi: cosa sappiamo

Nova ransomware colpisce KPMG Paesi Bassi: cosa sappiamo

Nova ransomware colpisce KPMG Paesi Bassi: cosa sappiamo

Introduzione per gli utenti non tecnici

Una delle più grandi società di consulenza al mondo, KPMG, ha subito un attacco informatico in Olanda. Un gruppo criminale chiamato Nova ha rubato dati sensibili e ha dato all’azienda 10 giorni per contattarli e negoziare il pagamento di un riscatto. Se KPMG non pagherà, i criminali minacciano di pubblicare i dati rubati online.

Cosa dovresti fare: Se sei un cliente di KPMG Paesi Bassi, monitora le comunicazioni ufficiali dell’azienda per aggiornamenti sulla sicurezza e controlla se i tuoi dati personali sono stati compromessi. Se lavori nel settore della sicurezza informatica, attiva i protocolli di risposta agli incidenti e cerca eventuali segni di attività di Nova nelle tue reti.

L’attacco a KPMG

Il 23 gennaio 2026, la filiale olandese di KPMG è stata ufficialmente segnalata come vittima del gruppo ransomware Nova. L’attacco è stato scoperto e pubblicato su una piattaforma di tracking dei ransomware nello stesso giorno in cui si stima sia avvenuto.

KPMG è una delle principali aziende di servizi professionali al mondo, fornendo servizi di audit, tasse e consulenza a molte delle più grandi organizzazioni globali. La divisione olandese dell’azienda gestisce dati sensibili di clienti che operano nei settori dei servizi finanziari, della conformità normativa e delle operazioni aziendali.

Il profilo di Nova

Nova è un’operazione ransomware-as-a-service attiva che ha guadagnato notorietà nel panorama delle minacce informatiche. Il gruppo segue un modello consolidato: prende di mira aziende di alto profilo nel settore dei servizi professionali e finanziari, cifra i loro sistemi, ruba i dati e minaccia di pubblicarli se non viene pagato un riscatto.

Questo non è il primo caso di Nova. Nel 2025, il gruppo ha attaccato Clinical Diagnostics, un laboratorio olandese, rubando dati da oltre 850.000 persone. Quando l’azienda non ha pagato interamente il riscatto richiesto, Nova ha cercato partner disposti a comprare il set completo di dati per 1,1 milioni di euro.

L’ultimatum e la richiesta di riscatto

Gli attaccanti hanno affermato di aver rubato dati sensibili da KPMG e hanno dato all’azienda un ultimatum di 10 giorni per contattarli e negoziare il pagamento del riscatto. Questo lasso di tempo è tipico delle operazioni ransomware moderne, creato per aumentare la pressione sulla vittima.

Lo stato della risposta di KPMG

Al momento della scoperta dell’attacco, KPMG non ha rilasciato alcuna conferma pubblica ufficiale della violazione. L’azienda ha successivamente smentito le affermazioni di Nova riguardanti il presunto attacco. Tuttavia, i clienti e gli stakeholder sono stati consigliati di monitorare le comunicazioni ufficiali per valutazioni dettagliate dell’impatto e cronologie di rimediazione.

Implicazioni per il settore

Quest’attacco sottolinea una realtà preoccupante: nemmeno le aziende Fortune 500 e le società “Big Four” della consulenza sono completamente immuni agli attacchi informatici. Gli esperti di sicurezza avvertono che nel 2026 potremmo assistere a un numero crescente di violazioni di dati di grandi aziende, inclusi i principali fornitori di servizi di cybersecurity.

Una teoria suggerisce che parte di questi attacchi potrebbe essere correlata alla fretta delle aziende di implementare l’intelligenza artificiale, spesso per impressionare gli investitori, spaventare i concorrenti o ridurre i costi, senza adeguate misure di sicurezza.

Raccomandazioni per le aziende

Le organizzazioni dovrebbero:

  • Implementare protocolli di risposta agli incidenti robusti
  • Monitorare attivamente i log di rete per segni di attività ransomware
  • Mantenere backup regolari e testati dei dati critici
  • Educare i dipendenti sui rischi di phishing e ingegneria sociale
  • Condurre valutazioni regolari della vulnerabilità
  • Mantenersi aggiornati sulle minacce emergenti come Nova

Technical Deep Dive

Infrastruttura di comando e controllo di Nova

Secondo i dati di threat intelligence, Nova opera molteplici elementi di infrastruttura di comando e controllo (C2) sulla rete Tor. Questo approccio consente al gruppo di mantenere l’anonimato e di evitare il rilevamento da parte delle forze dell’ordine e dei difensori di rete.

L’analisi degli indicatori pubblicamente disponibili rivela che Nova mantiene un’infrastruttura di leak distribuita su molteplici domini onion. Questa architettura decentralizzata rende difficile per le autorità chiudere le operazioni del gruppo e consente loro di continuare le loro attività anche se alcuni server vengono compromessi.

Architettura tecnica

Nova utilizza server basati su uvicorn, indicando uno schema di distribuzione backend standardizzato. Uvicorn è un server ASGI (Asynchronous Server Gateway Interface) leggero comunemente utilizzato per applicazioni Python. L’uso di questa tecnologia suggerisce che Nova probabilmente sviluppa le proprie applicazioni di gestione del ransomware in Python, permettendo loro di mantenere coerenza tecnica e facilità di manutenzione tra i vari elementi della loro infrastruttura.

Raccomandazioni tecniche per i difensori di rete

I difensori di rete dovrebbero:

  1. Bloccare l’infrastruttura onion identificata: Anche se il blocco completo di Tor è impraticabile, le organizzazioni dovrebbero monitorare e bloccare gli accessi ai domini onion specifici associati a Nova quando identificati.

  2. Monitorare i pattern di movimento laterale: Il ransomware tradizionalmente si diffonde attraverso la rete dopo l’accesso iniziale. I pattern di movimento laterale coerenti con il deployment di ransomware includono:

    • Enumerazione di condivisioni di rete
    • Tentativi di escalation dei privilegi
    • Accesso a file di sistema e database
    • Comunicazioni con server C2 esterni

  3. Attivare protocolli di risposta agli incidenti: Se vengono rilevati artefatti correlati a Nova nei log di rete, le organizzazioni dovrebbero:

    • Isolare immediatamente i sistemi compromessi
    • Preservare i log di rete e di sistema per l’analisi forense
    • Notificare gli stakeholder rilevanti
    • Avviare investigazioni approfondite sulla portata della compromissione
    • Consultare esperti di cybersecurity e forze dell’ordine se appropriato

  4. Implementare segmentazione di rete: Una segmentazione di rete appropriata può limitare il movimento laterale del ransomware. I sistemi critici dovrebbero essere isolati in zone di rete separate con controlli di accesso rigorosi.

  5. Monitoraggio delle comunicazioni C2: Implementare sistemi di rilevamento delle intrusioni (IDS) e di prevenzione (IPS) configurati per identificare le comunicazioni verso infrastrutture C2 note.

Indicatori di compromissione (IoC)

Le organizzazioni dovrebbero cercare nei loro log di rete e sistema:

  • Connessioni verso indirizzi IP o domini onion associati a Nova
  • Attività di processo insolita correlata a strumenti di ransomware
  • Modifiche ai file di sistema e di configurazione
  • Creazione di account utente non autorizzati
  • Esecuzione di script PowerShell o batch sospetti
  • Accesso anomalo a file e cartelle condivise

L’incidente di KPMG Paesi Bassi rappresenta un promemoria critico della necessità di una postura di sicurezza informatica robusta e in continua evoluzione, soprattutto per le organizzazioni che gestiscono dati sensibili di clienti.

Fonte: https://cybersecuritynews.com/nova-ransomware-breach-kpmg-netherlands/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto