W poniedziałek, 15 maja 2017 r., badacz z firmy Google opublikował na Twitterze poszlaki wskazujące na potencjalny związek między atakami oprogramowania szyfrującego dane WannaCry, które zainfekowało dziesiątki tysięcy komputerów na całym świecie, a szkodliwym programem przypisywanym grupie cyberprzestępczej Lazarus. Grupa Lazarus stoi za serią potężnych ataków na organizacje rządowe, media oraz instytucje finansowe.
Największe operacje tej grupy dotyczą ataków na studio Sony Pictures w 2014 r., Centralny Bank Bangladeszu w 2016 r. oraz dalsze włamania do organizacji finansowych w 2017 r. – także w Polsce.
Badacz z firmy Google wskazał na próbkę WannaCry, która pojawiła się już w lutym 2017 r. – dwa miesiące przed ostatnią falą ataków szyfrujących. Eksperci z Globalnego Zespołu ds. Badań i Analiz (GReAT) Kaspersky Lab dokonali analizy tych informacji, zidentyfikowali i potwierdzili zbieżność kodu między próbką wskazaną przez wspomnianego badacza a szkodliwymi programami wykorzystywanymi przez grupę Lazarus w atakach z 2015 r.
Wg badaczy z Kaspersky Lab, podobieństwo to może być elementem techniki fałszywej bandery, która ma za zadanie wyprowadzić w pole badaczy i organy ścigania. Z drugiej strony, analiza próbki z lutego i porównanie jej z najnowszymi wersjami WannaCry ujawniło, że ślady kodu grupy Lazarus zostały usunięte ze szkodników wykorzystanych w atakach szyfrujących, które rozpoczęły się w ubiegły piątek. Może to wskazywać na próbę zatarcia śladów przez osoby stojące za kampanią WannaCry.
Mimo że wspomniane podobieństwo nie jest jednoznacznym dowodem silnego powiązania między atakami WannaCry a grupą Lazarus, może ono doprowadzić badaczy do nowych poszlak, które pozwolą rzucić nieco więcej światła na pochodzenie szkodnika WannaCry, które do tej pory pozostaje nieznane.