REvil recluta afiliados para distribuir el ransomware para ellos. Como parte de este acuerdo, los afiliados y los desarrolladores de ransomware dividieron los ingresos generados por los pagos de rescates. Es difícil identificar su ubicación exacta, pero se cree que tienen su sede en Rusia debido al hecho de que el grupo no apunta a organizaciones rusas, o a aquellas en países del antiguo bloque soviético.

Los expertos en ciberseguridad creen que REvil es una rama de una banda de hackers conocida, pero ahora desaparecida, GandCrab. Esto se sospecha debido al hecho de que REvil se activó por primera vez directamente después del cierre de GandCrab, y que el ransomware tanto emplea compartir una cantidad significativa de código.

Como parte de las operaciones criminales de cybergang, son conocidos por robar casi un terabyte de información del bufete de abogados Grubman Shire Meiselas & Sacos y exigir un rescate por no publicarlo. El grupo también ha intentado extorsionar a otras empresas y figuras públicas. En mayo de 2020 exigieron 42 millones de dólares al presidente de Estados Unidos, Donald Trump. El grupo afirmó haber hecho esto descifrando la criptografía de curva elíptica que la empresa utilizaba para proteger sus datos. Según una entrevista con un presunto miembro, encontraron un comprador para información de Trump, pero esto no se puede confirmar. En la misma entrevista, el miembro afirma que traerá rans 100 millones en rescates en 2020.

El 16 de mayo de 2020, el grupo publicó documentos legales de un tamaño total de 2,4 GB relacionados con la cantante Lady Gaga. Al día siguiente publicaron 169 correos electrónicos «inofensivos» que se referían a Donald Trump o contenían la palabra ‘trump’.

Planeaban vender la información de Madonna, pero finalmente se retractaron.

El 18 de marzo de 2021, una filial de REvil afirmó en su sitio de fugas de datos que había descargado datos de la multinacional de hardware y electrónica Acer, así como la instalación de ransomware, que se ha vinculado a la filtración de datos de Microsoft Exchange Server de 2021 por parte de la empresa de ciberseguridad Advanced Intel, que encontró primeros signos de que los servidores Acer estaban siendo atacados desde el 5 de marzo de 2021. 50 millones de dólares estadounidenses Se exigió a Dollar ransom que descifrara el número no revelado de sistemas y que eliminara los archivos descargados, aumentando a 100 millones de dólares estadounidenses si no se pagaban antes del 28 de marzo de 2021.