Keine "Smoking Gun"
Ein eindeutiger Beweis ist das allerdings nicht, denn Kaspersky beruft sich teilweise auf bereits ältere Samples, im Fall von WannaCry aus dem Februar 2017. Gleichzeitig muss man aber auch feststellen, dass ein derartiges Vorgehen beim Untersuchen von Code legitim und normal ist, da Malware üblicherweise im Laufe der Zeit und durch überarbeitete Versionen besser wird, die Hacker verwischen dabei auch gerne ihre Spuren.Über die weltweit operierende und seit mindestens 2009 aktive Lazarus-Gruppe ist kaum etwas bekannt
Kaspersky schreibt aber auch, dass das natürlich auch eine so genannte "False Flag" sein könnte, also dass hier jemand versucht, eine falsche Fährte zu legen. Dabei ist aber wiederum auffällig, dass der als Beweis dienende Code in späteren Versionen fehlt. Dennoch schreibt Kaspersky im Blog: "In der Theorie ist alles möglich."
Mit dem Verdacht auf Lazarus und Nordkorea steht Kaspersky nicht alleine da, auch die Kollegen von Symantec sehen diese Hacker als vermutlich Verantwortliche: Symantec verweist per Blog ebenfalls auf den gemeinsamen Code, zudem aber auch auf Tools, die "exklusiv von Lazarus verwendet werden". Das Ganze steht auch im Zusammenhang mit der Verbreitung per Server Message Block (SMB), denn frühere Versionen von WannaCry hatten diese Möglichkeit nicht.