Exista indicii ca atacurile WannaCry au legatura cu grupul Lazarus – cei care au atacat Sony Pictures in 2014 si Banca Centrala din Bangladesh in 2016.
Luni, 15 mai, un cercetator in securitate de la Google a publicat pe Twitter o mostra (https://twitter.com/neelmehta/status/864164081116225536) ce arata o posibila legatura intre atacurile ransomware WannaCry, care au lovit recent mii de organizatii si utilizatori individuali din toata lumea, si programul malware atribuit grupului Lazarus, responsabil pentru atacuri de amploare asupra unor organizatii guvernamentale si asupra unor institutii media si financiare. Cele mai mari operatiuni legate de grupul Lazarus includ atacurile impotriva Sony Pictures, din 2014, si jaful de la Banca Centrala din Bangladesh din 2016, precum si o serie de atacuri similare din 2017.
Cercetatorul de la Google a prezentat o mostra WannaCry care a aparut in februarie 2017, cu doua luni inaintea valului recent de atacuri. Cercetatorii din echipa GReAT a Kaspersky Lab au analizat aceasta informatie, au identificat si au confirmat similitudini clare de cod intre mostra de malware adusa in discutie de cercetatorul de la Google si mostrele folosite din grupul Lazarus in atacurile din 2015.
Potrivit cercetatorilor Kaspersky Lab, asemanarile ar putea fi si un indiciu fals, cu scopul de a induce in eroare. Cu toate acestea, analiza mostrei din februarie, in comparatie cu mostrele WannaCry din atacurile recente, arata ca acel cod malware care pare sa indice grupul Lazarus, a fost inlocuit din programul malware WannaCry folosit in atacurile incepute vinerea trecuta. Aceasta poate fi o tentativa de a-si acoperi urmele, realizata de autorii campaniei WannaCry.
Chiar daca aceasta similitudine unica nu permite stabilitarea unei conexiuni clare intre ransomware-ul WannaCry si grupul Lazarus, poate duce, totusi, la unele indicii noi care ar face lumina asupra originii WannaCry care, in acest moment, ramane un mister.