Symantec ütles, et alates 12. maist enam kui 150 riigi arvuteid kollitanud lunavararünnakus kasutati "tööriistu ja taristut, mis on tugevalt seotud Lazarusega." Lazarus omakorda on häkkerite rühmitus, millel on varasemast Põhja-Koreaga sidemeid teada. "On suur tõenäosus, et need kaks (ründajad ja riik - M.A.) on täielikult seotud," ütles Symanteci turvareageerimise divisjoni tehniline direktor Vikram Thakur.

Lazarust on seostatud ka Sony Picturesi andmete häkkimisega, milles USA Põhja-Koread süüdistas ning rünnakutega pankadele üle maailma, sealhulgas mõnda aega tagasi toimunud võimsa raharööviga Bangladeshi keskpangast.

Turvauurijad hakkasid Põhja-Koread ja WannaCryd seostama juba mõni päev pärast rünnakut ja ehkki oli ka kahtlejaid, näikse nüüd need sidemed aina selgemaks muutuvat.

Sellest hoolimata on asja juures siiski ka üks konks: Symantec ütleb, et rünnakul ei ole riiklikul tasandil organiseeritud töö märke. Valitsuste rahastatud küberrünnakud on tavaliselt rafineeritud ja neis ei tehta algajatele omaseid vigu, ütleb Thakur. WannaCry puhul aga just nii läks.

Nii oli näiteks lunavara esimeste versioonide koodis viga, tänu millele ohvrid ei pidanud lunaraha maksma. Ehkki tõenäoliselt arvas Lazarus, et nad teenivad rünnakuga korralikult, siis tegelikult keerasid nad Thakuri sõnul kõik vussi ja ei saanud praktiliselt midagi. Thakur arvab, et WannaCry rünnak võis olla mõne Lazaruse grupeeringu häkkeri üksi ette võetud "haltuura," mille puhul soovis too lihtsalt ise mõningast arvestatavat raha teenida. Niisiis - seos Põhja-Koreaga on tänu Lazarusele justkui selge ja tundub süvenevat, aga samas on asjal juures kahtlane amatöörliku prohmaka maik.

Hetkeks on lunavara kogunenud umbes 108 000 dollarit. Turvaspetsialistid ja valitsusagentuurid on soovitanud ettevõtjail nõutavat lunaraha mitte maksta.