A maneira mais rápida de perder todos os arquivos que você tem não é um hacker de moletom. É um clique, dentro de uma aba, numa tarde comum de qualquer dia. Ransomware não é mistério. É uma linha de produção — e boa parte dela passa pelo navegador.

Você provavelmente já leu mais de uma história dessas. Um hospital que não consegue internar pacientes. Um pequeno escritório de advocacia que não consegue acessar um único arquivo de cliente. Uma prefeitura que volta ao papel e caneta por três semanas. Um casal de aposentados cujas fotos, declarações de imposto e cada documento digitalizado dos últimos vinte anos simplesmente sumiram, substituídos por um bilhete educado em inglês e um endereço de carteira.

Ransomware está em todo lugar, e está crescendo. Ele também é — e essa é a parte que importa — quase inteiramente evitável no ponto de entrada, que, em 2026, é quase sempre o mesmo lugar: uma página web, carregada num navegador comum, num dia comum.

Ransomware é uma indústria, não uma molecagem.

A imagem que muita gente ainda tem — um atacante solitário num laptop — está quarenta anos desatualizada. Ransomware moderno é operado como um negócio, com departamentos, orçamentos, salários, disputas trabalhistas, horário de atendimento ao cliente e, em alguns casos, relatórios trimestrais.

Uma operação típica envolve, no mínimo:

Corretores de acesso inicial, cujo negócio é vender "um pé na porta" para outras gangues: credenciais, um servidor comprometido, um usuário cuja máquina já foi silenciosamente backdoored.
Programas de afiliados (muitas vezes rotulados como "ransomware-as-a-service"), em que o grupo que escreve o encriptador fica com uma fatia, e uma rede frouxa de "afiliados" faz as invasões de fato.
Equipes de negociação que atendem chats, medem a receita da sua empresa a partir de documentos públicos e precificam o resgate de acordo.
Equipes de exfiltração de dados cujo único trabalho é roubar arquivos antes que qualquer coisa seja criptografada, para que, mesmo que você restaure do backup, eles possam ameaçar publicar.
Equipes de lavagem e saque que cuidam do lado das criptomoedas.

O ponto é simples: as pessoas do outro lado disso são profissionais, trabalhando em tempo integral, com orçamento operacional. O conselho "tenha mais cuidado" não é um plano de defesa contra uma indústria profissional. É um dar de ombros.

Como ele realmente entra.

Quase toda cadeia de ransomware moderno começa da mesma forma: alguém abre uma página web.

Seis dos pontos de entrada mais comuns do ransomware moderno. Cada um deles passa por um navegador na máquina de um usuário comum — não por um firewall, não por uma VPN, não por uma exploração do lado do servidor.

Resumidamente, os seis grandes:

Links de e-mail de phishing

O vetor mais antigo, e ainda o mais produtivo. Um e-mail plausível — rastreamento de encomenda, documento compartilhado, nota fiscal — leva a uma página que ou solta um payload direto ou coleta credenciais que serão usadas mais tarde para acessar a rede da vítima.

Malvertising

Redes de anúncios legítimas exibindo criativos maliciosos. Um site de notícias de verdade, um site de previsão do tempo de verdade, um site de receitas de verdade — todos mostram um anúncio que silenciosamente redireciona o navegador para um exploit kit. O dono do site não é cúmplice; a rede de anúncios foi enganada.

Envenenamento de SEO

O usuário procura uma ferramenta — um conversor de PDF, um instalador de VPN, uma fonte gratuita. O primeiro resultado é uma página falsa que aparece bem posicionada porque o atacante passou meses trabalhando nela. O download parece certo, é assinado, instala e vem com um carregador de segundo estágio junto.

Ataques watering hole

Um site de nicho — uma associação profissional, um fórum de especialistas, um portal de fornecedores — é silenciosamente comprometido, e todo visitante recebe um payload direcionado. O atacante não precisa de uma rede ampla; só da certa.

Páginas ClickFix

Uma favorita moderna. Uma página se passa por um CAPTCHA, uma mensagem de erro ou um alerta de "corrija isto para continuar". Ela silenciosamente escreve um comando do PowerShell ou do Terminal na área de transferência e instrui o usuário a apertar uma combinação de teclas e colar. O comando roda no host, fora do navegador, fazendo o que o atacante quiser.

Alertas de atualização falsos

"Seu navegador está desatualizado. Clique aqui para atualizar." A página parece o Chrome, o Firefox ou o Safari. O download é um carregador. Cada passo parece normal porque cada passo foi projetado para isso.

Alguns vetores menores mas ainda relevantes completam a lista: extensões de navegador maliciosas instaladas fora das lojas oficiais; pacotes de cadeia de suprimentos comprometidos; e — raramente, mas de forma catastrófica — zero-days genuínos de navegador. O fio condutor é entediante e importante: uma página web é carregada, e tudo de ruim que vem depois é consequência daquele único evento.

A cadeia, passo a passo.

Uma vez que o acesso inicial foi bem-sucedido, o resto da cadeia é mecânico.

O que realmente acontece depois que um usuário visita a página errada. Tudo depois do 'acesso inicial' roda no próprio computador do usuário — não em algum servidor — e, quando a criptografia começa, o atacante já está silenciosamente instalado há horas, dias ou semanas.

Essa cadeia inteira — desde o momento em que a aba carregou até o momento em que o bilhete de resgate aparece na área de trabalho — é uma longa sequência que depende de uma única coisa: o passo 2 dar certo. Se o payload do passo 2 não conseguir alcançar os arquivos, o chaveiro, as tarefas, os serviços ou os compartilhamentos de rede do usuário, a cadeia para. Cada passo depois do passo 2 pressupõe que o atacante já pôs a mão na máquina. Se ele nunca pôs a mão na máquina, nada mais acontece.

O navegador é a porta. A gente transformou numa parede.

Os navegadores tradicionais vêm sendo corrigidos, endurecidos, colocados em sandbox, fuzzed e testados sob estresse há vinte anos. Eles também são, com larga vantagem, a segunda maior superfície de ataque de qualquer computador — maior do que qualquer outro aplicativo, atrás apenas do sistema operacional que os executa. Isso não é porque os engenheiros deles são ruins. É porque um navegador precisa interpretar cada byte da internet inteira e, de alguma forma, produzir um pixel seguro. Esse é um problema perdido para quem recebe.

O Bromure não tenta vencer esse problema nos termos do navegador. Ele muda a geometria.

Mesmo payload de ransomware, mesmo exploit, mesma página maliciosa. À esquerda, um navegador tradicional: o payload cai no mesmo espaço de endereços que os seus arquivos. À direita, o Bromure: o payload cai em uma VM descartável que não contém nada do que é seu — e a VM é destruída quando você fecha a janela.

No Bromure, cada aba roda dentro de uma máquina virtual lacrada. O navegador, seu renderizador, o motor de JavaScript, o parser de PDF, o codec de vídeo — tudo isso fica encapsulado dentro de uma VM convidada descartável que não tem acesso aos seus arquivos, ao seu chaveiro, à sua webcam, às suas fotos ou à sua rede local. O exploit que explorou um bug do navegador cai dentro de um mundo que não contém a sua vida.

Quando você fecha a janela de uma sessão não persistente, toda a VM — o estado do navegador, os cookies, o que quer que tenha sido baixado, o que quer que tenha se instalado, o que quer que estivesse tentando sair — é apagada. Você não precisa saber que estava ali. Você não precisa limpar nada.

O isolamento é a primeira parede.

Um navegador tradicional rodando na sua conta de usuário compartilha as permissões de arquivo com você. Isso é arquitetura, não é um erro, e é disso que depende toda a cadeia de ataque depois do passo 2. O Bromure quebra essa premissa na raiz. O processo do navegador não roda na sua conta de usuário — ele roda numa máquina totalmente separada, e o que essa máquina pode enxergar se limita ao que você explicitamente deu a ela.

Downloads, webcam, área de transferência, rede local — desligados por padrão.

No Bromure, cada capacidade começa negada. Um download drive-by que "simplesmente funciona" em um navegador tradicional não consegue gravar um arquivo no Bromure a menos que você tenha dito antes que esse perfil pode salvar arquivos. O mesmo vale para webcam, microfone, acesso à área de transferência e requisições à rede local. A maioria dos perfis não precisa da maior parte disso. A maioria dos perfis nunca recebe a maior parte disso.

Perfis não são pastas. São máquinas separadas.

Seu banco. Seu e-mail de trabalho. Seu perfil "clica em qualquer link" para links do grupo de família. No Bromure, cada um deles é a sua própria VM, com seu próprio armazenamento, seus próprios cookies, suas próprias permissões, sua própria cor de borda visível. Se o perfil dos "links aleatórios" for comprometido — coisa que, no Bromure, já é difícil — ele não consegue alcançar os cookies do perfil "banco". Eles não estão no mesmo computador.

As sessões acabam. Os mundos acabam com elas.

Feche a janela, e um mundo descartável inteiro — com qualquer software malicioso que possa ter se estabelecido dentro dele — desaparece. Não sobra nada para o atacante voltar.

O terceiro passo de toda cadeia de ransomware — a persistência — é a jogada mais valiosa do atacante. Tarefas agendadas, serviços de sistema, itens de login, launch daemons: uma vez que se instalam, eles voltam. Contra um host persistente, o atacante vence só na paciência. Contra uma sessão descartável do Bromure, não há para onde voltar. O mundo em que o atacante viveu acabou.

O que o isolamento não resolve — e o que fazer a respeito.

Isolamento não é mágica. Duas coisas que ele sozinho não conserta:

Engenharia social contra o usuário

Uma página que convence um usuário a copiar um comando e executá-lo em uma janela de Terminal de verdade já contornou o navegador por completo — o comando agora roda no host, não no sandbox. É assim que o ClickFix funciona. O conserto para isso é uma camada separada: o navegador precisa enxergar o payload que a página escreveu na área de transferência, sinalizá-lo e avisar o usuário antes de ele colar. Essa é uma funcionalidade a caminho; enquanto isso, nunca execute um comando que uma página web mandou você executar, e ensine as pessoas da sua casa a fazer o mesmo.

Credenciais reais entregues a um atacante real

Se uma página de phishing convincente faz o usuário digitar uma senha de verdade num formulário de verdade, nenhum modelo de isolamento ajuda — as credenciais acabaram de deixar o sandbox pelo seu teclado. O conserto para isso é específico de phishing: avisar antes de uma senha ser digitada em um novo domínio; detectar falsificação de marca; capturar envios de senha entre domínios. Esse trabalho está em andamento e vai chegar em uma próxima versão.

Até que essas camadas cheguem, só o isolamento já derruba a cadeia de ransomware industrial mais confiável — aquela que vai de "aba → arquivo no disco → persistência → criptografia". É essa cadeia que a indústria atacante monetiza. É essa cadeia que o Bromure quebra.

A indústria do ataque não está desacelerando. Nós também não.

Ransomware não vai ser contido por conselhos melhores, nem pedindo aos seus parentes para terem mais cuidado, nem fingindo que as pessoas do outro lado um dia vão se cansar e ir para casa. Elas não vão se cansar. Elas têm metas trimestrais.

O que vai detê-las, uma máquina de cada vez, é um navegador que foi projetado desde a primeira linha de código para presumir que uma página web é hostil e para garantir que nada que uma página hostil faça consiga alcançar qualquer coisa que importa para você. Um navegador em que o pior desfecho possível de clicar no link errado, no dia errado, no humor errado, é você fechar uma janela.

É para isso que o Bromure existe. Instale, torne-o padrão e transforme o resto em problema de outro.