REvil recrute des affiliés pour leur distribuer le ransomware. Dans le cadre de cet arrangement, les affiliés et les développeurs de ransomwares se partagent les revenus générés par les paiements de rançon. Il est difficile de déterminer leur emplacement exact, mais on pense qu’ils sont basés en Russie en raison du fait que le groupe ne cible pas les organisations russes, ni celles des pays de l’ancien bloc soviétique.

Les experts en cybersécurité pensent que REvil est une émanation d’un ancien gang de hackers notoire, mais aujourd’hui disparu, GandCrab. Cela est suspecté en raison du fait que REvil est devenu actif pour la première fois directement après l’arrêt de GandCrab, et que les ransomwares emploient tous deux une quantité importante de code.

Dans le cadre des opérations du cybergang criminel, ils sont connus pour avoir volé près d’un téraoctet d’informations au cabinet d’avocats Grubman Shire Meiselas& et avoir exigé une rançon pour ne pas l’avoir publiée. Le groupe a également tenté d’extorquer d’autres entreprises et des personnalités publiques. En mai 2020, ils ont exigé 42 millions de dollars du président américain Donald Trump. Le groupe a affirmé l’avoir fait en déchiffrant la cryptographie à courbe elliptique que l’entreprise utilisait pour protéger ses données. Selon une interview avec un membre présumé, ils ont trouvé un acheteur pour des informations sur Trump, mais cela ne peut être confirmé. Dans la même interview, le membre affirme qu’ils rapporteront 100 millions de dollars en rançons en 2020.

Le 16 mai 2020, le groupe a publié des documents juridiques totalisant une taille de 2,4 Go liés à la chanteuse Lady Gaga. Le lendemain, ils ont publié 169 e-mails « inoffensifs » faisant référence à Donald Trump ou contenant le mot « trump ».

Ils prévoyaient de vendre les informations de Madonna, mais ont finalement renoncé.

Le 18 mars 2021, une filiale de REvil a affirmé sur son site de fuite de données qu’elle avait téléchargé des données de la multinationale de matériel et d’électronique Acer, ainsi que l’installation d’un ransomware, qui a été lié à la violation de données du serveur Microsoft Exchange de 2021 par la société de cybersécurité Advanced Intel, qui a trouvé les premiers signes de serveurs Acer ciblés à partir du 5 mars 2021. A 50 millions de dollars AMÉRICAINS Une rançon en dollars a été demandée pour déchiffrer le nombre non divulgué de systèmes et pour que les fichiers téléchargés soient supprimés, passant à 100 millions de dollars américains s’ils ne sont pas payés d’ici le 28 mars 2021.