Un Leader en el Gartner® Magic Quadrant™ 2026 para Endpoint Protection. Seis años consecutivos.Líder en el Cuadrante Mágico™ de GartnerDescubra por qué
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Back to Anthology
IceFire
Published: November 30, 2022Last updated: September 17, 2025
HolyGhostInc. Ransom

IceFire Ransomware: In-Depth Analysis, Detection, Mitigation

Summary of IceFire Ransomware

  • IceFire Ransomware was first observed in August 2022.
  • IceFire is a multi-pronged extortion threat. The attackers exfiltrate all enticing data prior to encrypting devices. Victims are then extorted into paying the ransom to prevent leakage and decrypt their data.

IceFire Ransomware - Featured Image | SentinelOne

What Does IceFire Ransomware Target?

  • Large enterprises, high-value targets
  • Focus on healthcare and education sectors

How Does IceFire Ransomware Spread?

  • Phishing and spear phishing emails
  • Third-party framework (e.g., Empire, Metasploit, Cobalt Strike)

IceFire Ransomware Technical Details

The malware contains most features considered standard for ransomware (e.g., VSS deletion, multiple persistence mechanisms, log removal). Victims are instructed to visit a TOR-based payment portal to initiate communication with the attacker. Victims are provided unique credentials for their payment portal login, allowing them to chat and interact with their attackers. At this time, there are only Windows versions of IceFire ransomware.

How to Detect IceFire Ransomware

  • The SentinelOne Singularity XDR Platform detects and prevents malicious behaviors and artifacts associated with IceFire ransomware.

How to Mitigate IceFire Ransomware

  • The SentinelOne Singularity XDR Platform detects and prevents malicious behaviors and artifacts associated with IceFire.

How to Remove IceFire Ransomware

  • SentinelOne customers are protected from IceFire ransomware without any need to update or take action. In cases where the policy was set to Detect Only and a device became infected, remove the infection by using SentinelOne’s unique rollback capability. As the accompanying video shows,  the rollback will revert any malicious impact on the device and restore encrypted files to their original state.

Frequently Asked Questions

IceFire is a ransomware that encrypts files and demands money in exchange for decryption. First sighted in March 2022, IceFire first affected Windows platforms and then transitioned to Linux in 2023. IceFire mainly attacks businesses and uses double-extortion tactics. If you are not paying, criminals will release your stolen data. Files receive the.icefire file extension, and ransom files include payment details.

IceFire spreads by exploiting weakness in widely exposed applications, i.e., IBM WebSphere on Linux. Phishing emails with malicious attachments, infected downloads, and brute-force RDP attack are also employed by attackers. Once inside, they move laterally through your network to steal valuable data. Attempts at infection can be detected from network traffic logs.

IceFire first targeted Windows computers only in 2022. IceFire ventured into Linux computers in 2023 targeting IBM WebSphere vulnerabilities. IceFire is more dangerous because Linux is used on many business critical servers. You must protect all your endpoints from this cross-platform threat if you use both systems.

IceFire infects spreadsheets, presentations, documents, databases, images, and source code files. It looks for extensions like.doc,.pdf,.jpg,.sql, and other business-critical files. The ransomware does not infect system files so your computer will be working and you will be able to pay. Your encrypted files will be assigned the.icefire extension.

IceFire uses a combination of RSA and AES encryption. It creates a special AES key that encrypts your files, and encrypts the said key using a public RSA key that can only be decrypted by attackers. No one can break this process without a decryption key. If you look at encrypted files, they’re all sealed forever without the decryption tool of attackers.

Yes, IceFire tries to disable your protection before encryption. It stops security processes, turns off Windows Defender, deletes shadow copies, erases event logs, and turns off recovery options. You can notice your antivirus icon disappearing or security alerts about disabled protection. These actions make detection and recovery harder for you.

Security practices that stop IceFire include network segmentation to limit movement. Give users only the access they need. Secure RDP with MFA. Block macros in Office documents from the internet. Set up application whitelisting and install EDR solutions. You should also test your incident response plan regularly to stay prepared.

Yes. SentinelOne Singularity XDR Platform can effectively stop IceFire ransomware attacks.

Anthology Prefooter | Experience the World’s Most Advanced Cybersecurity Platform

Experience the World’s Most Advanced Cybersecurity Platform

See how our intelligent, autonomous cybersecurity platform harnesses the power of data and AI to protect your organization now and into the future.

Request Demo
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español