GandCrab tauchte Anfang 2018 als Ransomware-as-a-Service (RaaS) auf und stellte den Betrieb Mitte 2019 ein. Zum Zeitpunkt des Rückzugs prahlten die Betreiber damit, mit der Operation jährlich über 150 Millionen Dollar eingenommen zu haben.
REvil – auch unter dem Namen Sodinokibi bekannt – trat etwa zur selben Zeit in Erscheinung, als sich GandCrab zurückzog, und galt umgehend als dessen Nachfolger. Ende 2021 beschlagnahmten Ermittler die Server von REvil; sieben Personen, die mit den beiden Ransomware-Operationen in Verbindung standen, wurden festgenommen.
Im Januar 2022 meldeten die russischen Behörden die Festnahme mehrerer Personen, die mutmaßlich mit REvil in Verbindung standen. Im Jahr 2024 wurden vier Mitglieder der Gruppe zu Haftstrafen verurteilt.
Der nun vom BKA benannte Shchukin trat den Angaben zufolge unter Aliasnamen wie Oneiilk2, Oneillk2, Oneillk22, UNKN und GandCrab auf und wurde schon früher als Anführer von REvil enttarnt. Wie der Investigativjournalist Brian Krebs anmerkt, wurde er 2023 in einer Klage des US-Justizministeriums (DoJ) erwähnt, die auf die Beschlagnahme von Kryptowährung abzielte, die im Rahmen der REvil-Operation illegal erlangt worden war. Zudem fiel sein Name in einem Konferenzvortrag in Deutschland.
