Symantec và Kaspersky Lab cho biết, một phiên bản trước của WannaCry đã chứa cùng một số mã trong các chương trình được sử dụng bởi Lazarus, nhóm mà các nhà nghiên cứu ở nhiều hãng an ninh mạng đã xác định là hacker Triều Tiên.
Nhà nghiên cứu Kurt Baumgartner của Kaspersky Lab nói với Reuters: "Đây là manh mối rõ nhất mà chúng ta đã biết đến nay là nguồn gốc của WannaCry".
Cả Symantec và Kaspersky Lab cho biết còn quá sớm để nói liệu Triều Tiên có tham gia cuộc tấn công mạng, đã chậm lại vào ngày 16-5, nhưng đã trở thành một trong những chiến dịch tống tiền lan nhanh kỷ lục.
Theo Symantec và Kaspersky Lab, cần phải nghiên cứu thêm mã và yêu cầu các hãng an ninh mạng khác hỗ trợ phân tích.
Các cơ quan thực thi pháp luật khắp thế giới đang theo sát chặt chẽ nghiên cứu của các hãng an ninh mạng.
Cố vấn an ninh quốc gia Tom Bossert của Tổng thống Mỹ Donald Trump đã tuyên bố những thủ phạm có thể là quốc gia lẫn tội phạm mạng.
Hacker đã kiếm được chưa đến 70.000 USD từ những người dùng muốn lấy lại quyền truy cập máy tính của họ, nhưng không biết các khoản thanh toán đó có dẫn đến sự phục hồi dữ liệu nào, Bossert cho biết và thêm rằng không có hệ thống nào của chính phủ liên bang bị ảnh hưởng.
Các quan chức an ninh giấu tên Mỹ và châu Âu nói với Reuters rằng còn quá sớm để chỉ ra thủ phạm, nhưng họ không loại trừ Triều Tiên.
Nhóm Lazarus của Triều Tiên đã được cho là thủ phạm đánh cắp 81 triệu USD của Ngân hàng Trung ương Bangladesh năm ngoái.
Một số chuyên gia an ninh mạng của khu vực tư nhân cho biết họ không chắc chắn động cơ cuộc tấn công chủ yếu để kiếm tiền, lưu ý rằng hầu hết các khoản tiền chuộc lớn và các kiểu chiến dịch tống tiền khác trên mạng từng đem lại hàng triệu USD cho hacker.
Matthew Hickey, đồng sáng lập hãng tư vấn mạng Hacker House, cho biết: "Tôi tin rằng cuộc tấn công này đã lan rộng nhằm gây thiệt hại lớn nhất có thể".
Theo hãng an ninh mạng Avast của CH Czech, các nước và vùng lãnh thổ bị ảnh hưởng nhiều nhất của WannaCry là Nga, Đài Loan (Trung Quốc), Ukraine và Ấn Độ.
Kể từ đỉnh ngày 12-5 với hơn 9.000 máy tính bị tấn công mỗi giờ, số ca nhiễm đã giảm đáng kể. Ngày 15-5, cảnh sát giao thông và các trường học Trung Quốc cho biết đã bị tấn công khi WannaCry lan sang châu Á trong tuần làm việc mới, nhưng không có sự gián đoạn lớn nào.
Các chính quyền châu Âu và Mỹ đã chuyển sang ngăn chặn hacker phát tán các phiên bản virus mới.
Hacker yêu cầu tiền chuộc ban đầu 300 USD để mở khóa cho mỗi máy bị nhiễm, 3 ngày sau tăng gấp đôi.
Với những máy bị tấn công đầu tiên ngày 12-5, tiền chuộc 300 USD tăng gấp đôi lên 600 USD vào ngày 15-5.
Tom Robinson, đồng sáng lập hãng an ninh mạng tư nhân Elliptic ở London, chuyên điều tra các cuộc tấn công ransomware, cho biết, đến thứ sáu 19-5, nhiều nạn nhân đối mặt việc dữ liệu bị khóa vĩnh viễn nếu không trả tiền chuộc 600 USD.
Cho đến nay, chỉ có một số nạn nhân dường như đã trả tiền, dựa trên các tài khoản bitcoin công khai trên web, nơi hacker hướng dẫn nạn nhân trả tiền.
Bệnh nhân và gia đình chờ đăng ký tại Bệnh viện Ung thư Dharmais ở Jakarta, sau khi bệnh viện ung thư lớn nhất Indonesia này bị tấn công mạng, ngày 15-5-2017. Ảnh: REUTERS
Reuters sử dụng dữ liệu công khai tính toán, cho đến 9 giờ tối 15-5 giờ VN, tổng số tiền bitcoin chuyển vào các tài khoản vô danh hacker sử dụng chỉ ở mức 55.169 USD, với 209 lần thanh toán.
Bất kể nguồn gốc vụ tấn công, các nhà đầu tư đổ xô vào chứng khoán các công ty an ninh mạng ngày 15-5, đánh cược rằng các chính phủ và tập đoàn sẽ tăng chi tiêu để nâng cấp hệ thống an ninh mạng.
Cổ phiếu các công ty cung cấp dịch vụ an ninh mạng đã tăng mạnh, dẫn đầu bởi Cyren của Israel và FireEye của Mỹ.