REvil rekrutterer datterselskaber til at distribuere løseprogrammet til dem. Som en del af dette arrangement, datterselskaber og løsepenge udviklere opdele indtægter genereret fra løsepenge betalinger. Det er vanskeligt at lokalisere deres nøjagtige placering, men de menes at være baseret i Rusland på grund af det faktum, at gruppen ikke er målrettet mod russiske organisationer eller dem i tidligere Sovjetbloklande.cybersikkerhedseksperter mener, at REvil er en udløber fra en tidligere berygtet, men nu nedlagt hackerbande, GandCrab. Dette mistænkes på grund af det faktum, at REvil først blev aktiv direkte efter GandCrab-nedlukning, og at løseprogrammet begge anvender dele en betydelig mængde kode.

som en del af den kriminelle cybergangs operationer er de kendt for at stjæle næsten en terabyte information fra advokatfirmaet Grubman Shire Meiselas & sække og kræve løsepenge for ikke at offentliggøre det. Gruppen har også forsøgt at afpresse andre virksomheder og offentlige personer. I maj 2020 krævede de 42 millioner dollars fra den amerikanske præsident Donald Trump. Gruppen hævdede at have gjort dette ved at dechiffrere den elliptiske kurvekryptografi, som firmaet brugte til at beskytte sine data. Ifølge en samtale med et påstået medlem fandt de en køber til Trump-oplysninger, men dette kan ikke bekræftes. I samme samtale hævder medlemmet, at de vil indbringe $100 millioner i løsepenge i 2020.

den 16.maj 2020 udgav gruppen juridiske dokumenter i alt En størrelse på 2,4 GB relateret til sangeren Lady Gaga. Den følgende dag udgav de 169 “harmløse” e-mails, der henviste til Donald Trump eller indeholdt ordet ‘trump’.

de planlagde at sælge Madonnas information, men til sidst frafaldes.

den 18.marts 2021 hævdede et REvil-datterselskab på deres datalækageside, at de havde hentet data fra det multinationale udstyrs-og elektronikfirma Acer samt installeret løseprogram, som er blevet knyttet til 2021 Microsoft-Udvekslingsserver databrud af cybersikkerhedsfirmaet Advanced Intel, der fandt de første tegn på, at Acer-servere blev målrettet fra 5. Marts 2021. En $50 millioner U. S. Dollar ransom blev krævet for at dekryptere det ukendte antal systemer og for at de hentede filer skulle slettes, hvilket steg til $100 millioner amerikanske Dollars, hvis de ikke blev betalt inden den 28.marts 2021.