REvil, считается одной из самых успешных на сегодняшний день группировкой работающей с программами-вымогателями, действует с апреля 2019 года.

Они впервые закрылись 13 июля этого года после того, как одна из их атак на серверы Kaseya во время праздника 4 июля в США поразила тысячи предприятий – и привлекла угрозы и внимание со стороны официальных лиц Белого дома. Решение о прекращении операций было принято лидером группы под псевдонимом UNKN, который отключил серверы и исчез вместе с деньгами группы, что оставило их неспособными оплатить услуги своим сообщникам, которые помогали REvil выполнять атаки.

Группа, за исключением UNKN, официально вернулась в начале сентября под тем же именем REvil. Чтобы доказать, что они были той самой группой, они восстановили все свои бывшие порталы в даркнете. Как только это произошло, то начали появляться сообщения о новых кибератаках.

Но в это воскресенье в серии сообщений, новый администратор группы, человек по имени 0_neday, сообщил, что их портал взломан третьей стороной.

«Сервер был взломан, и они искали меня», — говорится в сообщении 0_neday. «Чтобы быть точным, они удалили путь к моей скрытой службе в файле torrc и создали свой собственный, чтобы я пошел туда», — добавил 0_neday.

Компрометация сервера REvil произошла в плохое время для этого нового воплощения группы, которая все еще боролась с последствиями их предыдущего закрытия. Несколько филиалов все еще пытались вернуть средства, украденные UNKN, первым администратором группировки, и разработчиков группы также обвинили в сокрытии бэкдора  внутри своего кода. Бэкдор якобы позволил администраторам REvil напрямую предоставлять ключи дешифрования жертвам и тем самым позволял самим вести переговоры о выкупе, минуя своих сообщников.

Поскольку преступный мир киберпреступников в основном управляется репутацией и доверием, на стене теперь висит надпись 0_neday, который на данный момент решил закрыть REvil, и не заниматься восстановлением репутации группировки.