Eerder werden al gelijkenissen gevonden tussen de code van WannaCry en de malware Contopee, die al jarenlang door Lazarus wordt gebruikt.
Onderzoekers van Symantec schrijven maandagnacht dat ze verschillende andere aanwijzingen hebben gevonden die Lazarus aan de nieuwe ransomware-aanval koppelt. Zo zijn drie verschillende stukken Lazarus-malware aangetroffen op het netwerk van het eerste slachtoffer van WannaCry.
Het gaat onder meer om een stuk software dat eerder werd gebruikt om grote hoeveelheden data te wissen bij de filmtak van Sony. Dat bedrijf werd in 2014 getroffen door een ernstige hack. Volgens experts zat Noord-Korea achter die aanval, al ontkent het land dat.
IP-adressen
Bij de WannaCry-aanval zijn ook ip-adressen gebruikt die eerder zijn gekoppeld aan Lazarus. Verder heeft Symantec code-overeenkomsten aangetroffen tussen verschillende onderdelen van de WannaCry-ransomware en oudere programma's van Lazarus.
Verschillende cybersecurity-onderzoekers koppelden WannaCry eerder al aan Noord-Korea, maar die conclusie werd toen door anderen nog gezien als voorbarig. De ransomware kon zich snel verspreiden door misbruik van een Windows-lek dat al jaren eerder werd gevonden door de Amerikaanse inlichtingendienst NSA, en dat door een andere hackersgroep op straat kwam te liggen.