GandCrab nahm Anfang 2018 seinen Betrieb auf. Der damalige Anführer zog sich im Juni 2019 zurück und behauptete, mit Lösegeldzahlungen zwei Milliarden Dollar eingenommen zu haben; persönlich habe er sich davon 150 Millionen Dollar ausgezahlt und nach eigener Aussage in legale Geschäfte investiert.
Kurz darauf trat mit REvil eine neue Operation in Erscheinung, die das von GandCrab etablierte Partnermodell übernahm – also gezielt um Partnerschaften mit Cyberkriminellen warb und diese aufbaute. REvil, auch unter dem Namen Sodinokibi bekannt, ging aus früheren GandCrab-Partnern und -Betreibern hervor, die die erprobten Methoden bereits kannten und auf die eigene Tätigkeit übertrugen.
Später ergänzte REvil öffentliche Leak-Seiten und versteigerte erbeutete Daten, um Opfer zusätzlich unter Druck zu setzen. Zu den bekannten Geschädigten zählen mehrere Kommunalverwaltungen in Texas, der Computerhersteller Acer sowie der Lieferketten-Angriff auf Kaseya, der rund 1.500 nachgelagerte Opfer betraf.
Nach dem groß angelegten Kaseya-Angriff legte REvil eine zweimonatige Pause ein. In dieser Zeit drangen Ermittlungsbehörden in die Server der Gruppe ein und begannen, deren Aktivitäten zu überwachen. Mehrere Störungen der Infrastruktur wurden registriert. Mitte Januar 2022 verhaftete Russland mehr als ein Dutzend Mitglieder der REvil-Bande; sie kamen 2025 nach verbüßter Haft wegen Kreditkartenbetrugs wieder frei.
Ob Shchukin oder Kravchuk sich nach dem Ende von REvil im Jahr 2021 anderen Ransomware-Operationen anschlossen, ist unklar. Zur Fahndung veröffentlichte die Polizei mehrere Bilder, darunter Fotos von Tätowierungen, um die beiden Tatverdächtigen aufzuspüren.
