Сотрудник Google Ниил Мехта нашёл в ранней версии вируса WannaCry код, который в 2015 году использовался хакерской группировкой Lazarus из Северной Кореи. Из этого он сделал вывод, что за масштабной атакой на компьютеры по всему миру стоят те же хакеры, причём их деятельность финансируется государством.
К такому же выводу пришли специалисты «Лаборатории Касперского» — они тоже нашли в вирусе следы от хакеров из Lazarus, но выяснили, что код, который мог бы их скомпрометировать, был вычищен. На то, что хакеры спонсируются правительством, указывает наличие «рубильника», позволяющего в любой момент остановить распространение вируса. Вероятно, хакеры не ставили перед собой цель заработать деньги, а просто проверяли возможность вывода из строя компьютеров по всему миру.