Bijna een maand voor het uitbreken van de WannaCry-ransomware zijn er al systemen via dezelfde NSA-exploit besmet geraakt met ransomware, zo laten verschillende beveiligingsbedrijven weten. Op 14 april publiceerde een groep hackers genaamd Shadow Brokers een verzameling tools en exploits van de NSA.

Het ging onder andere om de EternalBlue-exploit, die van een SMB-lek in Windows gebruik maakt. De kwetsbaarheid was een maand eerder al door Microsoft gepatcht. Op 12 mei maakte WannaCry gebruik van dit lek om systemen via internet aan te vallen. Op 18 april, vier dagen na het verschijnen van de NSA-exploits en -tools, werden systemen echter al aangevallen.

Beveiligingsbedrijf Kahu Security onderzocht een aanval waarbij er meerdere tools en exploits van de NSA werden gebruikt, onder andere om de anti-virussoftware op het aangevallen systeem uit te schakelen. Uiteindelijk installeerde de aanvaller de "Global Imposter" ransomware op het systeem. Een week geleden berichtte ook beveiligingsbedrijf Secdo dat het drie weken voor de WannaCry-uitbraak aanvallen via de EternalBlue-exploit had waargenomen. Bij deze aanvallen besloten de aanvallers eerst in Firefox opgeslagen wachtwoorden van het aangevallen systeem te stelen voordat er uiteindelijk ransomware werd geïnstalleerd.

Verder werden er ook aanvallen waargenomen waarbij er een backdoor op systemen werd geplaatst. Volgens Secdo laat het onderzoek zien dat de schade veel groter is dan in eerste instantie werd aangenomen en dat minstens drie verschillende groepen sinds eind april de NSA-exploit hebben gebruikt om bedrijfsnetwerken binnen te dringen. Daardoor kunnen veel systemen besmet zijn geraakt, ondanks dat de beveiligingsupdate voor het SMB-lek inmiddels is geïnstalleerd.