Специалист по компьютерной безопасности из Google Нил Мехта первым отметил наличие в программном коде вируса WannaCry фрагментов, совпадающих с кодом программ, использовавшихся в 2015 году хакерами из группы Lazarus Group, которую, в свою очередь, подозревают в связях с Северной Кореей. Находку подтвердили эксперты «Лаборатории Касперского». Они считают, что изучение предыдущих версий WannaCry может дать дополнительную информацию о его происхождении. А специалисты Symantec обнаружили файлы ранних версий WannaCry на компьютерах, взломанных инструментами Lazarus Group. Найденные образцы отличаются от тех, что находили на компьютерах, зараженных вирусом WannaCry в ходе недавней массовой атаки, но в Symantec еще продолжают изучение последних версий на предмет сходства их с программами Lazarus Group.
Сходство кода вирусов еще не означает, что у них был один автор. Хакеры могли позаимствовать код из опубликованных в Интернете материалов. В Symantec пытаются выяснить, насколько широко были распространены сходные фрагменты кода. Возможно также, что наличие на зараженных компьютерах обоих вирусов объясняется совпадением во времени атак двух разных хакерских групп.