Firmy Kaspersky i Symantec przyjrzały się atakowi od strony technologicznej. Jak informuje "The Guardian", analiza wczesnej wersji kodu WannaCry sugeruje podobieństwo do tego stosowanego przez grupę Lazarus. To właśnie jej przypisuje się zaatakowanie 2014 roku serwerów Sony, a także kradzież z banku w Bangladeszu 81 mln dolarów w 2016 roku. Łączona z Koreą Północną grupa słynie również z używania bitcoinów, a to właśnie okupu wypłaconego w tej walucie domagali się hakerzy w czasie piątkowego przejęcia danych.
Brytyjski dziennik przywołuje argument, wedle którego hakerzy mogli użyć kodu grupy Lazarus, by zmylić trop. Jednak fakt, że z nowszych wersji WannaCry został on usunięty, mocno podważa tę tezę.
Z drugiej strony, ogólnoświatowe śledztwo, mające na celu wskazanie odpowiedzialnych za atak ransomware, zbiega się w czasie z masowa krytyką władz Stanów Zjednoczonych, które gromadzą cyberbroń w postaci m.in. tego rodzaju złośliwego oprogramowania. Okazało się bowiem, że do ataku wykorzystano wirusa wykradzionego z amerykańskiego Narodowej Agencji Bezpieczeństwa w sierpniu 2016 roku.