REvil rekrutiert Partner, um die Ransomware für sie zu verteilen. Im Rahmen dieser Vereinbarung teilen die verbundenen Unternehmen und Ransomware-Entwickler die Einnahmen aus Lösegeldzahlungen auf. Es ist schwierig, ihren genauen Standort zu bestimmen, aber es wird angenommen, dass sie in Russland ansässig sind, da die Gruppe nicht auf russische Organisationen oder solche in ehemaligen Sowjetblockländern abzielt.Cybersecurity-Experten glauben, dass REvil ein Ableger einer früheren berüchtigten, aber jetzt nicht mehr existierenden Hacker-Bande, GandCrab, ist. Dies wird vermutet, aufgrund der Tatsache, dass REvil zuerst aktiv wurde direkt nach GandCrab Abschaltung, und dass die Ransomware beide beschäftigen eine erhebliche Menge an Code teilen.

Im Rahmen der kriminellen Cybergang-Operationen sind sie dafür bekannt, fast ein Terabyte an Informationen von der Anwaltskanzlei Grubman Shire Meiselas & Sacks gestohlen und ein Lösegeld verlangt zu haben, weil sie es nicht veröffentlicht haben. Die Gruppe hat versucht, auch andere Unternehmen und Persönlichkeiten des öffentlichen Lebens zu erpressen. Im Mai 2020 forderten sie 42 Millionen Dollar von US-Präsident Donald Trump. Die Gruppe behauptete, dies durch Entschlüsselung der elliptischen Kurvenkryptographie getan zu haben, mit der das Unternehmen seine Daten schützte. Laut einem Interview mit einem angeblichen Mitglied fanden sie einen Käufer für Trump-Informationen, dies kann jedoch nicht bestätigt werden. Im selben Interview behauptet das Mitglied, dass sie 2020 Lösegeld in Höhe von 100 Millionen US-Dollar einbringen werden.

Am 16.Mai 2020 veröffentlichte die Gruppe juristische Dokumente mit einer Größe von insgesamt 2,4 GB im Zusammenhang mit der Sängerin Lady Gaga. Am folgenden Tag veröffentlichten sie 169 „harmlose“ E-Mails, die sich auf Donald Trump bezogen oder das Wort „Trump“ enthielten.

Sie planten, Madonnas Informationen zu verkaufen, brachen aber schließlich ab.Am 18. März 2021 behauptete eine REvil-Tochtergesellschaft auf ihrer Datenleck-Website, dass sie Daten von dem multinationalen Hardware- und Elektronikkonzern Acer heruntergeladen und Ransomware installiert habe, die mit dem Microsoft Exchange Server-Datenverstoß 2021 von der Cybersicherheitsfirma Advanced Intel in Verbindung gebracht wurde, die erste Anzeichen dafür fand, dass Acer-Server ab dem 5. März 2021 ins Visier genommen wurden. 50 Millionen US-Dollar. Dollar-Lösegeld wurde verlangt, um die nicht genannte Anzahl von Systemen zu entschlüsseln und die heruntergeladenen Dateien zu löschen, Erhöhung auf $ 100 Millionen US-Dollar, wenn nicht bezahlt von 28 März 2021.