REvil recrutează Afiliați pentru a distribui ransomware-ul pentru ei. Ca parte a acestui aranjament, afiliații și dezvoltatorii ransomware împart veniturile generate de plățile de răscumpărare. Este dificil să se identifice locația lor exactă, dar se crede că au sediul în Rusia din cauza faptului că grupul nu vizează organizațiile rusești sau cele din fostele țări ale blocului sovietic.

experții în securitate cibernetică cred că REvil este o ramură a unei bande de hackeri notorii, dar acum defunctă, GandCrab. Acest lucru este suspectat datorită faptului că REvil a devenit activ pentru prima dată imediat după închiderea GandCrab și că ransomware-ul ambele utilizează o cantitate semnificativă de cod.

ca parte a operațiunilor criminalului cybergang, aceștia sunt cunoscuți pentru furtul a aproape un terabyte de informații de la firma de avocatură Grubman Shire Meiselas& saci și cerând o răscumpărare pentru că nu au publicat-o. Grupul a încercat să extorce și alte companii și personalități publice. În mai 2020 au cerut 42 de milioane de dolari de la președintele american Donald Trump. Grupul a susținut că a făcut acest lucru descifrând criptografia curbei eliptice pe care firma a folosit-o pentru a-și proteja datele. Potrivit unui interviu cu un presupus membru, au găsit un cumpărător pentru informații despre Trump, dar acest lucru nu poate fi confirmat. În același interviu, membrul susține că va aduce răscumpărări de 100 de milioane de dolari în 2020.

la 16 mai 2020, grupul a lansat documente legale în valoare totală de 2,4 GB legate de cântăreața Lady Gaga. A doua zi au lansat 169 de e-mailuri „inofensive” care se refereau la Donald Trump sau conțineau cuvântul „trump”.

plănuiau să vândă informațiile Madonnei, dar în cele din urmă au renegat.

la 18 martie 2021, un afiliat REvil a susținut pe site-ul lor de scurgere de date că a descărcat date de la corporația multinațională de hardware și electronică Acer, precum și instalarea ransomware, care a fost legată de încălcarea datelor Microsoft Exchange Server din 2021 de către firma de securitate cibernetică Advanced Intel, care a găsit primele semne ale serverelor Acer vizate începând cu 5 martie 2021. 50 de milioane de dolari. Răscumpărarea dolarului a fost cerută pentru a decripta numărul nedivulgat de sisteme și pentru ca fișierele descărcate să fie șterse, crescând la 100 de milioane de dolari SUA dacă nu sunt plătite până la 28 martie 2021.