«De tudo o que vimos, as provas técnicas apontam que, de facto, isto é do Lazarus», disse Eric Chien, da Symantec, citado pelo New York Times. Este especialista encontrou o primeiro caso do WannaCry em fevereiro e monitorizou como em dois minutos apenas, o computador infetado conseguiu atingir outras cem máquinas na mesma rede. Foi deste primeiro ataque que os investigadores partiram para descobrir evidências da autoria do Lazarus Group. A forma de propagação, de servidor para servidor, já tinha sido detetada anteriormente. Agora, os hackers usaram ainda uma ferramenta revelada pelo grupo Shadow Brokers, que terá sido desenvolvida pela NSA, para fortalecer o seu ataque.
Os especialistas da Symantec dizem que encontraram vestígios das mesmas ferramentas usadas no ataque à Sony em 2014 e outros ataques a empresas e bancos da Coreia do Sul em 2013. Todos estes ataques foram atribuídos ao Lazarus Group.
Os atacantes terão também usado um método de encriptação raro e outras técnicas invulgares para cobrir os seus rastos, métodos aplicados pelo Lazarus em momentos anteriores.
Até esta segunda-feira, apenas 223 vítimas tinham pago em bitcoin para os hackers devolverem o acesso aos ficheiros encriptados, totalizando pouco mais de 109 mil dólares.