До сих пор достоверно неизвестно, кто стоит за масштабной атакой приложения-вымогателя WannaCry в начале мая, но некоторые исследователи и специалисты по сетевой безопасности подозревают хакерскую группу Lazarus Group из Северной Кореи. Вымогатель затронул более 300 тысяч компьютеров в более чем 150 странах мира. Больше всех пострадали Россия и Китай, где распространена практика использования пиратских копий программного обеспечения.
Пострадала от вымогателя и Великобритания, где расследование ведёт Национальный центр кибербезопасности, входящий в состав местных разведывательных служб. Специалисты этой организации пришли к тому же выводу, что ранее сделали исследователи из компаний Symantec, Google, лаборатории Касперского и южнокорейской Hauri Labs: на основе сходства WannaCry и предыдущих хакерских инструментов ответственность возложили на Lazarus Group.
Это группа в 2014 году взломала серверы компании Sony Pictures, а в прошлом году проникла в банк Бангладеша. Её считают связанной с руководством Северной Кореи, хотя степень участия этой страны в случае с WannaCry неизвестна. Естественно, официальные лица Северной Кореи отрицают все обвинения, но других подозреваемых найти не удается.
Возможно, авторы вымогателя сами не рассчитывали на такое быстрое и масштабное распространение. С указанных в записке кошельков до сих пор не был произведён вывод средств, поскольку это может выдать хакеров, не ожидавших столь пристального внимания со всего мира.
В конце мая компания Flashpoint провела лингвистический анализ записок WannaCry. Тогда был сделан вывод о китайском следе, там же якобы действует и Lazarus Group.