REvil recruta afiliados para distribuir o ransomware para eles. Como parte deste acordo, as afiliadas e desenvolvedores ransomware dividem a receita gerada a partir de pagamentos de resgate. É difícil identificar a sua localização exata, mas pensa-se que eles estão baseados na Rússia devido ao fato de que o grupo não tem como alvo organizações russas, ou aqueles em países do antigo bloco soviético.os especialistas em cibersegurança acreditam que REvil é uma derivação de um gang hacker conhecido, mas agora extinto, GandCrab. Isto é suspeito devido ao fato de que REvil tornou-se ativo pela primeira vez após o encerramento de GandCrab, e que o ransomware ambos empregam compartilhar uma quantidade significativa de código.

Como parte do criminoso cybergang operações, eles são conhecidos por roubar quase um terabyte de informações de escritório de advocacia Grubman Shire Meiselas & Sacos e exigir um resgate para não publicá-lo. O grupo tentou extorquir também outras empresas e figuras públicas. Em maio de 2020, eles exigiram 42 milhões de dólares do presidente dos EUA, Donald Trump. O grupo alegou ter feito isso Decifrando a criptografia de curva elíptica que a empresa usou para proteger seus dados. De acordo com uma entrevista com um alegado membro, eles encontraram um comprador para informações Trump, mas isso não pode ser confirmado. Na mesma entrevista, o Membro afirma que vai trazer US $ 100 milhões em resgates em 2020.

em 16 de Maio de 2020, o grupo lançou documentos legais totalizando um tamanho de 2,4 GB relacionado com a cantora Lady Gaga. No dia seguinte, lançaram 169 e-mails “inofensivos” que se referiam a Donald Trump ou continham a palavra ‘trump’.eles estavam planejando vender a informação de Madonna, mas eventualmente renegaram.

em 18 de Março de 2021, uma afiliada da REvil alegou em seu site de vazamento de dados que eles tinham baixado dados da multinacional hardware e eletrônica corporation Acer, bem como a instalação de ransomware, que foi ligado à violação de dados do Microsoft Exchange Server 2021 pela empresa de segurança cibernética Advanced Intel, que encontrou primeiros sinais de servidores Acer sendo alvo a partir de 5 de Março de 2021. 50 milhões de dólares. O resgate do dólar foi exigido para descriptografar o número não revelado de sistemas e para que os arquivos baixados fossem apagados, aumentando para US $100 milhões se não pagos até 28 de Março de 2021.