Podařilo se objevit stopu vedoucí k možným strůjcům kampaně WannaCry. Kód ransomwaru se shoduje s částí malwaru využitého skupinou Lazarus.
Skupina Lazaurus je zodpovědná za sérii velkých útoků na vládní organizace, média a finanční instituce. Mezi její největší operace patřily útoky proti Sony Pictures v roce 2014 a kybernetická loupež v centrální bance Bangladéše v roce 2016. Útoky Lazaurus jsou pokládány za dílo Severní Koreje.
Experti týmu GReAT společnosti Kaspersky Lab potvrdili podobnosti mezi kódem WannaCry a částí malwaru, využitého skupinou Lazarus v útocích z roku 2015. Jako první popukázali na tuto skutečnost výzkumníci Googlu.
Analytici Kaspersky Lab dodávají, že se v případě této podobnosti může jednat o záměrnou falešnou stopu (false flag). Porovnali ale část kódu, která se objevila v únoru 2017 s částí malwaru WannaCry, který byl využit k současným útokům. Zjistili přitom, že část kódu poukazující na skupinu Lazarus byla odstraněna z aktuálně použitého malwaru WannaCry. Tento krok tak může být pokusem o zahlazení stop vedoucích k autorům kampaně WannaCry.
Tato podobnost podle Kaspersky Lab údajně sama o sobě neposkytuje dostatečný důkaz o napojení ransomwaru WannaCry na skupinu Lazarus. Může ale vést k dalším zjištěním, která přinesou více informací o původu WannaCry, který je doposud záhadou.