De Nova-hackgroep is de laatste tijd overal in het nieuws vanwege de recente hack op Clinical Diagnostics en Bevolkingsonderzoek Nederland – de grootste medische hack in de geschiedenis van Nederland. Daarbij zijn de privégegevens van meer dan 850.000 mensen gelekt, en de situatie is nog steeds gaande. Maar wat weten we eigenlijk écht over deze hackgroep?
Wie of wat is de Nova-hackgroep?
De Nova-hackgroep, soms ook wel Nova RaaS (Ransomware-as-a-Service) genoemd, is een relatief nieuwe speler waar nog weinig over bekend is. De eerste meldingen over de groep verschenen rond maart 2025, toen ze bekend werden door het verspreiden van de RaLord-ransomware.
Volgens Nova zelf is het niet gelinkt aan andere bekende hackgroepen wereldwijd. Waar de groep vandaan komt, is echter nog steeds onbekend. Experts denken dat Nova geen vaste groep hackers is, maar eerder een flexibel, wereldwijd netwerk van medeplichtigen – mogelijk actief in landen als Zuid-Korea, Rusland, Moldavië en meer.
Een hackgroep in opkomst
Net als veel andere ransomware-bendes gebruikt Nova een zogeheten double extortion-strategie. Ze infiltreren computers, systemen en netwerken van hun doelwitten, versleutelen de data met ransomware, en stelen daarnaast de versleutelde gegevens. Vervolgens dreigen ze deze openbaar te maken op het dark web als er geen losgeld wordt betaald.
Dit is een veelgebruikte tactiek onder ransomwaregroepen, die hen in staat stelt extra druk uit te oefenen op slachtoffers om het losgeld te betalen.
Sinds de start van hun activiteiten heeft de Nova-hackgroep met succes ingebroken bij meer dan 34 verschillende bedrijven en organisaties. Ze opereren wereldwijd, met name gericht op grotere bedrijven en overheidsinstanties. De groep heeft met succes bedrijven aangevallen, binnengedrongen en afgeperst in Duitsland, Portugal en de Verenigde Staten, en heeft ook de gemeente Pisa gehackt. Toen de gemeente weigerde de 2 miljoen dollar losgeld te betalen, publiceerde de groep meer dan 100 GB aan gebruikersgegevens.
De bekendste hack van Nova is de aanval op Clinical Diagnostics in Nederland. Naar verluidt werd er losgeld betaald, maar daarna eiste de groep alsnog 1 miljoen dollar in bitcoin en dreigde ze de gelekte gegevens openbaar te maken.
Ransomware-as-a-Service
Nova voert niet alleen zelf aanvallen uit, maar opereert ook als een Ransomware-as-a-Service-groep. Dit betekent dat het mogelijk is om hun diensten af te nemen om aanvallen uit te voeren op specifieke doelwitten.
Op de TOR-site van de groep op het dark web staat een gedetailleerde beschrijving van de diensten die ze aanbieden, hun tarieven, indeling in niveaus en vereisten voor een succesvolle aanval.
Werken met medeplichtigen
Volgens RTL is Nova geen eenduidige hackgroep, maar eerder een netwerk van zogenaamde affiliates. Deze medeplichtigen, die overal ter wereld gevestigd kunnen zijn, breken in bij bedrijven namens Nova en verspreiden hun malware. Volgens de groep zelf gaat ongeveer 90% van het losgeld naar deze affiliates, en slechts 10% naar de kernhackers van Nova, die de ransomware ontwikkelen en instructies aanleveren.
Een hackgroep met een ethische houding (?)
Op het eerste gezicht lijkt de Nova-hackgroep sterk op andere ransomwaregroepen: ze dringen binnen bij bedrijven, installeren ransomware die data versleutelt, stelen die data en eisen losgeld in ruil voor het ontsleutelen en niet publiceren ervan op het dark web. Toch beweert de groep een ethische houding te hanteren.
Een van de eerste doelwitten van de groep was een school. In april verscheen echter een update op hun blog op het dark web waarin werd gesteld dat de groep geen scholen of non-profitorganisaties meer zal aanvallen. Het is onduidelijk of deze beslissing is genomen vanuit een ethisch standpunt, of simpelweg omdat dit soort organisaties vaak niet over de middelen beschikt om het hoge losgeld te betalen.
