Сотрудник Google Ниил Мехта нашёл в ранней версии вируса WannaCry код, который в 2015 году использовался хакерской группировкой Lazarus из Северной Кореи. Из этого он сделал вывод, что за масштабной атакой на компьютеры по всему миру стоят те же хакеры, причём их деятельность финансируется государством.

К такому же выводу пришли специалисты «Лаборатории Касперского» — они тоже нашли в вирусе следы от хакеров из Lazarus, но выяснили, что код, который мог бы их скомпрометировать, был вычищен. На то, что хакеры спонсируются правительством, указывает наличие «рубильника», позволяющего в любой момент остановить распространение вируса. Вероятно, хакеры не ставили перед собой цель заработать деньги, а просто проверяли возможность вывода из строя компьютеров по всему миру.

По данным финской компании F-Secure, наибольшее число заражений зафиксировано в России и Китае. Речь не идёт о целенаправленной атаке на эти страны, всё дело в распространённости пиратских версий Windows, которые не получают обновления. В Китае примерно 70% компьютеров работают на нелицензионной ОС, а в России — 64%. Эти ПК наиболее уязвимы, поскольку не получают обновления безопасности и могут быть атакованы хакерами, что и произошло 12 мая.