
<div dir="ltr">This entire thread could easily have been simply :<div><br></div><div>"Hey all! I'm having some challenges reaching a live person in the abuse groups for X, Y, and Z. Can anyone help with a contact, or if anyone from those companies sees this, can you contact me off-list?"</div><div><br></div><div>Calling everyone an idiot in the midst of Endless Pontification isn't really a recipe for success. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 18, 2019 at 8:04 PM Ronald F. Guilmette <<a href="mailto:rfg@tristatelogic.com">rfg@tristatelogic.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>

OVH, DigitalOcean, and Microsoft...<br>

<br>

Is there anybody awake and conscious at any of these places?  I mean<br>

anybody who someone such as myself... just part of the Great Unwashed<br>

Masses... could actually speak to about a real and ongoing problem?<br>

<br>

Maybe most of you here will think that this is just a trivial problem, and<br>

one that's not even worth mentioning on NANOG.  So be it. Make up you own<br>

minds.  Here is the problem...<br>

<br>

For some time now, there has been an ongoing campaign of bitcoin<br>

extortion spamming going on which originates primarily or perhaps<br>

exclusively from IPv4 addresses owned by OVH and DigitalOcean.<br>

These scam spams have now been publicised in multiple places:<br>

<br>

   <a href="https://myonlinesecurity.co.uk/fake-cia-sextortion-scam/" rel="noreferrer" target="_blank">https://myonlinesecurity.co.uk/fake-cia-sextortion-scam/</a><br>

<br>

Yea, that's just one place, I know, but there's also no shortage of people<br>

tweeting about this crap also, in multiple languages even!<br>

<br>

    <a href="https://twitter.com/SpamAuditor/status/1107365604636278784" rel="noreferrer" target="_blank">https://twitter.com/SpamAuditor/status/1107365604636278784</a><br>

    <a href="https://twitter.com/dvk01uk/status/1107510553621266433" rel="noreferrer" target="_blank">https://twitter.com/dvk01uk/status/1107510553621266433</a><br>

    <a href="https://twitter.com/bortzmeyer/status/1107737034049900544" rel="noreferrer" target="_blank">https://twitter.com/bortzmeyer/status/1107737034049900544</a><br>

    <a href="https://twitter.com/ariestess69/status/1107468838596038656" rel="noreferrer" target="_blank">https://twitter.com/ariestess69/status/1107468838596038656</a><br>

    <a href="https://twitter.com/bernhard_mahr/status/1107513313020297216" rel="noreferrer" target="_blank">https://twitter.com/bernhard_mahr/status/1107513313020297216</a><br>

    <a href="https://twitter.com/jzmurdock/status/1107679858945974272" rel="noreferrer" target="_blank">https://twitter.com/jzmurdock/status/1107679858945974272</a><br>

    <a href="https://twitter.com/gamamb/status/1107384186548207617" rel="noreferrer" target="_blank">https://twitter.com/gamamb/status/1107384186548207617</a><br>

    <a href="https://twitter.com/davidgsIoT/status/1107725201331097606" rel="noreferrer" target="_blank">https://twitter.com/davidgsIoT/status/1107725201331097606</a><br>

    <a href="https://twitter.com/cybers_guards/status/1107675396076560384" rel="noreferrer" target="_blank">https://twitter.com/cybers_guards/status/1107675396076560384</a><br>

    <a href="https://twitter.com/ThatHostingCo/status/1107588660831105024" rel="noreferrer" target="_blank">https://twitter.com/ThatHostingCo/status/1107588660831105024</a><br>

    <a href="https://twitter.com/fladna9/status/1107554090765242368" rel="noreferrer" target="_blank">https://twitter.com/fladna9/status/1107554090765242368</a><br>

    <a href="https://twitter.com/JUSTADACHI/status/1107549777607184384" rel="noreferrer" target="_blank">https://twitter.com/JUSTADACHI/status/1107549777607184384</a><br>

    <a href="https://twitter.com/okhin/status/1107627379650908160" rel="noreferrer" target="_blank">https://twitter.com/okhin/status/1107627379650908160</a><br>

    <a href="https://twitter.com/Purple_Wyrm/status/1107454618705887232" rel="noreferrer" target="_blank">https://twitter.com/Purple_Wyrm/status/1107454618705887232</a><br>

    <a href="https://twitter.com/LadyOFyre/status/1107349022220550144" rel="noreferrer" target="_blank">https://twitter.com/LadyOFyre/status/1107349022220550144</a><br>

    <a href="https://twitter.com/laurelvail/status/1107345980062523392" rel="noreferrer" target="_blank">https://twitter.com/laurelvail/status/1107345980062523392</a><br>

    <a href="https://twitter.com/Alex__Rubio/status/1107595560440217600" rel="noreferrer" target="_blank">https://twitter.com/Alex__Rubio/status/1107595560440217600</a><br>

<br>

The thing of it is that ALL of this crap... al of these scam spams... are<br>

quite obviously originating out of the networks of OVH and DigitalOcean.<br>

And it's not even all that hard to figure out where from, exactly and<br>

specifically.  I generated the following survey, on the fly, last night,<br>

based on a simple reverse DNS scan of the evidently relevant addrdess<br>

ranges:<br>

<br>

    <a href="https://pastebin.com/raw/WtM0Y5yC" rel="noreferrer" target="_blank">https://pastebin.com/raw/WtM0Y5yC</a><br>

<br>

As anyone who isn't as blind as a bat can easily see, there's a bit of a<br>

pattern here.  All of the spam source IPs are on just two ASNs:<br>

<br>

   AS16276 - OVH SAS<br>

   AS4061 - DigitalOcean, LLC<br>

<br>

It's equally clear that there have already been numerous reports about this<br>

ongoing and blatantly criminal activity that have been sent to the low-level<br>

high school dropout interns that these companies, like most others on the<br>

Internet these days, choose to employ as their first-level minions in their<br>

"not a profit center" abuse handling departments.  So, guess what?  Surprise,<br>

surprise!  None of those clue-deprived flunkies have apparently yet managed<br>

to figure out that there's a pattern here.  Duh!.  As a result, the scamming<br>

and the spamming just go on and on and on, and the spammer-scammer just<br>

keeps on getting fresh new IP addresess on both of these networks... and<br>

fresh (and utterly free) new domain names from the equally careless company<br>

called Freenom.<br>

<br>

So, you know, I really would appreciate it if someone could either put me<br>

in touch with some actual sentient being at either OVH or DigitalOcean...<br>

assuming that any such actually exist... or at the very least, try to find<br>

one to whom clue may be passed about all this, because although these scam<br>

spams were kind of humorous and novel at first, the novelty has now worn off<br>

and they're really not all that funny anymore.<br>

<br>

Oh!   And while we are on the subject, I'd also like to obtain a contact,<br>

preferbly one which is also and likewise in possession of something roughly<br>

approximating clue, at this place:<br>

<br>

   AS200517 - Microsoft Deutschland MCIO GmbH<br>

<br>

The reason is that although MS Deutschland is most probably not the source<br>

of any of the spams, they, or at least their 51.18.39.107 address, do appear<br>

to be mixed up in all of this somehow:<br>

<br>

    <a href="https://pastebin.com/raw/ziVNCmZ8" rel="noreferrer" target="_blank">https://pastebin.com/raw/ziVNCmZ8</a><br>

<br>

I dunno.  Maybe Microsoft has managed to engineer a merger with the CIA (?)<br>

If not, then maybe they would be so kind as to rat out this specific criminal<br>

customer of their's to appropriate authorities.<br>

<br>

Don't get me wrong. I heartily applaud Microsoft's Digital Crimes Unit for<br>

all of the admirable work they do, but you know the old saying... charity<br>

begins at home.  So my hope is that they will seek to get this low-life off<br>

their network immediately, if not sooner, and then also seek to arrange<br>

suitable long term accomodations for him in, say, Florence, Colorado, or,<br>

if he/she/it has a higher than average level of tan, I hope that they will<br>

make all necessary inquiries to find out if there are still any open bunks<br>

available in Gitmo.<br>

<br>

<br>

Regards,<br>

rfg<br>

<br>

<br>

P.S.  In recent days, the popular media has fanned the flames of controversy,<br>

as it is their habit to do, over the question of whether or not the various<br>

social media companies could have somehow automagically spotted and deleted,<br>

in real time, with some sort of yet-to-be-invented artificial intelligence<br>

wizardry, the shooter videos from New Zealand.  Of course, none of the TV<br>

personalities who so cavalierly offer up their totally uninformed opinions<br>

on this question have ever themselves gotten within a country mile of the<br>

kinds of AI that could, perhaps in another decade or three, reliably<br>

distinguish between a video of a msss shooting and a video of a particularly<br>

raucous birthday party.  It's a hard problem.<br>

<br>

In contrast to that hard problem, spotting the kind of trivial reverse DNS<br>

pattern I've noted above is child's play and a no brainer.  Why then, one<br>

might reasonbly ask, have the combined abuse departments of both OVH and<br>

DigitalOcean been either utterly unable or else utterly unwilling to do so?<br>

Solving these kinds of trivial problems does not await the development of<br>

some advanced new artificial intelligence.  It just requires the judicious<br>

application of a small bit of the non-artificial kind of intelligence.  But<br>

the industry, it seems, can't, or won't, even manage that.<br>

</blockquote></div>