Технологические компании Symantec и FireEye назвали наиболее вероятными организаторами кибератаки с использованием вируса-вымогателя WannaCry хакерскую группировку Lazarus. Как отмечает TJournal, ее часто связывают с Северной Кореей.
По словам сотрудников FireEye, код WannaCry был похож на код более старых вредоносных программ, которые якобы были связаны с КНДР, и как минимум был создан с использованием тех же средств разработки программного обеспечения. В Symantec подчеркнули, что код WannaCry «почти идентичен» коду программ, создание которых приписывается группировке Lazarus.
Вирус распространился в пятницу, 12 мая, по всему миру. В России атаке подверглись в том числе серверы компании «Мегафон», МВД и сайт Следственного комитета. В Великобритании жертвами программы стали Национальная служба здравоохранения, в Испании пострадали телекоммуникационная компания Telefonica и банк Santander. Всего, по данным Avast, вирус затронул пользователей в 99 странах мира, а по данным главы Европола Роба Уэйнрайта — в 150 странах.
Позже специалист информационной безопасности компании Google Нил Мехта опубликовал элемент кода в в WannaCry. Этот код называли общим элементом кода с вирусом, который Lazarus использовали в 2015 году. При этом эксперты признали, что это соответствие еще не доказывает причастность Северной Кореи к глобальной кибератаке: заимствование элементов кода — распространенная практика.