REvil rekrytoi tytäryhtiöitä levittämään ransomware-kiristysohjelmaa heille. Osana tätä järjestelyä tytäryhtiöt ja ransomware-kehittäjät jakavat lunnasmaksuista saadut tulot. Niiden tarkkaa sijaintia on vaikea määrittää, mutta niiden arvellaan sijoittuvan Venäjälle, koska ryhmä ei kohdistu venäläisiin järjestöihin tai entisissä Neuvostoblokin maissa toimiviin järjestöihin.

Kyberturvallisuusasiantuntijat uskovat Revilin olevan sivujuonne aiemmasta pahamaineisesta, mutta nyt lakkautetusta hakkerijengistä, Gandcrabista. Tätä epäillään siksi, että REvil aktivoitui ensimmäisen kerran heti GandCrab-sulkemisen jälkeen ja että kiristyshaittaohjelmat jakavat huomattavan määrän koodia.

osana rikollisen kybergangin toimintaa heidät tunnetaan siitä, että he varastivat lähes teratavun verran tietoja asianajotoimisto Grubman Shire Meiselas & säkkejä ja vaativat lunnaita siitä, ettei niitä julkaistu. Ryhmä on yrittänyt kiristää myös muita yrityksiä ja julkisuuden henkilöitä. Toukokuussa 2020 he vaativat Yhdysvaltain presidentiltä Donald Trumpilta 42 miljoonaa dollaria. Ryhmä väitti tehneensä tämän tulkitsemalla elliptisen käyrän salauksen, jota yritys käytti tietojensa suojaamiseen. Väitetyn jäsenen haastattelun mukaan Trump-tiedoille löytyi ostaja, mutta tätä ei voida vahvistaa. Samassa haastattelussa jäsen väittää, että he tuovat 100 miljoonaa dollaria lunnaina vuonna 2020.

16.toukokuuta 2020 yhtye julkaisi laulaja Lady Gagaan liittyviä 2,4 gigatavun kokoisia lakiasiakirjoja. Seuraavana päivänä he julkaisivat 169″ harmitonta ”sähköpostia, jotka viittasivat Donald Trumpiin tai sisälsivät sanan ”trump”.

he suunnittelivat myyvänsä Madonnan tiedot, mutta lopulta luopuivat niistä.

18.maaliskuuta 2021 Revilin tytäryhtiö väitti tietovuotosivustollaan ladanneensa tietoja monikansalliselta laitteisto-ja elektroniikkayhtiö Acerilta sekä asentaneensa ransomware-ohjelman, joka on yhdistetty vuonna 2021 tapahtuneeseen Microsoft Exchange Server-tietomurtoon kyberturvallisuusyritys Advanced Intelin toimesta, joka havaitsi ensimmäisiä merkkejä Acerin palvelimien kohdistumisesta 5. maaliskuuta 2021 alkaen. 50 miljoonaa dollaria. Dollar lunnaita vaadittiin salauksen purkamiseksi julkistamattomasta määrästä järjestelmiä ja ladattujen tiedostojen poistamiseksi, mikä nousi 100 miljoonaan Yhdysvaltain dollariin, jos niitä ei makseta 28.maaliskuuta 2021 mennessä.