rekrutuje partnerów do dystrybucji oprogramowania ransomware dla nich. W ramach tej umowy podmioty stowarzyszone i deweloperzy oprogramowania ransomware dzielą się przychodami uzyskanymi z płatności okupu. Trudno jest określić ich dokładną lokalizację, ale uważa się, że mają siedzibę w Rosji ze względu na fakt, że grupa nie jest skierowana do organizacji rosyjskich ani tych z krajów byłego bloku sowieckiego.

eksperci od cyberbezpieczeństwa uważają, że REvil jest pochodną poprzedniego, znanego, ale już nieistniejącego gangu hakerów, GandCrab. Podejrzewa się to ze względu na fakt, że REvil po raz pierwszy stał się aktywny bezpośrednio po zamknięciu GandCrab, i że oba ransomware wykorzystują znaczną ilość kodu.

w ramach działalności przestępczego cybergangu znani są z kradzieży prawie jednego terabajta informacji z kancelarii prawniczej Grubman Shire Meiselas & I domagania się okupu za ich nie opublikowanie. Grupa próbowała wyłudzić również inne firmy i osoby publiczne. W maju 2020 zażądali od prezydenta USA Donalda Trumpa 42 milionów dolarów. Grupa twierdziła, że zrobiła to poprzez rozszyfrowanie kryptografii krzywej eliptycznej, której firma używała do ochrony swoich danych. Według wywiadu z rzekomym posłem znaleźli nabywcę informacji Trumpa, ale nie można tego potwierdzić. W tym samym wywiadzie członek twierdzi, że przyniesie 100 milionów dolarów okupu w 2020 roku.

16 maja 2020 roku grupa wydała dokumenty prawne o łącznej wielkości 2,4 GB związane z piosenkarką Lady Gagą. Następnego dnia opublikowali 169 „nieszkodliwych” e-maili, które odnosiły się do Donalda Trumpa lub zawierały słowo „trump”.

planowali sprzedać informacje Madonny, ale ostatecznie się wycofali.

w dniu 18 marca 2021 r.spółka stowarzyszona REvil oświadczyła na swojej stronie wycieku danych, że pobrała dane z międzynarodowej korporacji sprzętu i elektroniki Acer, a także zainstalowała oprogramowanie ransomware, które zostało powiązane z naruszeniem danych Microsoft Exchange Server w 2021 r. przez firmę zajmującą się bezpieczeństwem cybernetycznym Advanced Intel, która odkryła pierwsze oznaki atakowania serwerów Acer od 5 marca 2021 r. 50 milionów dolarów USA. Dolar ransom został zażądany, aby odszyfrować nieujawnioną liczbę systemów i usunąć pobrane pliki, zwiększając do 100 milionów dolarów amerykańskich, jeśli nie zostaną wypłacone do 28 marca 2021 roku.