כופרה חדשה בשם SophosEncrypt מתחזה לחברת אבטחת הסייבר Sophos, כאשר פושעי הסייבר משתמשים בשם החברה לצורך פעילותם הפלילית. הכופרה נחשבה בתחילה כחלק מתרגיל "צוות אדום" של Sophos והיא התגלתה על ידי MalwareHunterTeam. עם זאת צייץ בטוויטר צוות Sophos X-Ops כי החברה לא יצרה את הכופרה וכי הוא חוקר את פעולתו: "מצאנו את הכופרה ב- VT ואנו חוקרים אותה. הממצאים הראשוניים שלנו מראים ש- Sophos InterceptX מגן מפני כופרות כאלו".
קיימת אינדיקציה לכך שהכופרה הינה תוכנת כופרה כשירות – RaaS. בעוד שמעט ידוע על פעולת RaaS וכיצד היא מקודמת, נמצא כי הכופרה כתובה ב- Rust ומשתמשת בנתיב 'C:\Users\Dubinin\'. בתוך מערכת המחשוב נקראת הכופרה sophos_encrypt ולכן היא זכתה לכינוי SophosEncrypt, עם זיהויים שכבר נוספו ל- ID Ransomware. הכופרה מבקשת הזנת אסימון המשויך לקורבן, שככל הנראה אוחזר לראשונה מפאנל ניהול הכופרה. כאשר האסימון מוזן, מתחברת הכופרה ל- 179.43.154.137:21119 ומוודאת שהאסימון תקף. כאשר הוזן אסימון חוקי, מבקשת הכופרה מהמפעיל מידע נוסף שישמש בעת הצפנת מערכת המחשוב. מידע זה כולל אימייל ליצירת קשר, jabber address וסיסמה בת 32 תווים אשר ככל הנראה משמשת כחלק מאלגוריתם ההצפנה. לאחר מכן מבקשת הכופרה מהמפעיל להצפין קובץ אחד או להצפין את מערכת המחשוב כולה. בעת הצפנת הקבצים משתמשת הכופרה בהצפנת AES256-CBC עם ריפוד PKCS#7. לכל קובץ מוצפן יהיה האסימון שהוזן, האימייל שהוזן וסיומת sophos אשר יצורפו לשם הקובץ בפורמט :.[[]].[[]].sophos. בכל תיקיה בה הוצפן קובץ, תיצור הכופרה פתק כופר בשם information.hta המופעל אוטומטית עם סיום ההצפנה. פתק הכופר מכיל מידע אודות מה שקרה לקבצים של הקורבן ואת פרטי הקשר שהוזנו על ידי מפעיל הכופרה לפני הצפנת מערכת המחשוב.
לכופרה יש גם את היכולת לשנות את טפט שולחן העבודה של Windows, כאשר הטפט החדש מציג במודגש את המותג Sophos אליו הוא מתחזה. הכופרה מכילה הפניות רבות לאתר Tor שאינו מיועד משא ומתן או הדלפת נתונים, אלא מה שנראה כפאנל RaaS של מפעילי הכופרה.
חוקרי הסייבר עדיין מנתחים את כופרת SophosEncrypt כדי לראות אם חולשות כלשהן יכולות לאפשר שחזור קבצים בחינם. בעדכון חדש פורסם כי שרת הפיקוד והבקרה של כנופיית הכופרה בכתובת 179.43.154.137 מקושר גם לשרתי Cobalt Strike C2 ששימשו במתקפות קודמות.
