Bland de drabbade företagen finns svenska Coop, Apotek Hjärtat och SJ.
Utpressningskravet har publicerats på hackergruppen Revils blogg. Alla Liska, vid den amerikanska it-säkerhetsfirman Recorded Future, säger att inlägget verkar vara autentiskt och att gruppen använt bloggen det senaste året.
Den omfattande så kallade ransomwareattacken inleddes i fredags och riktades mot det Miamibaserade mjukvaruföretaget Kaseya, som säljer it-tjänster till kunder globalt. Hundratals, kanske tusentals, bolag världen över har drabbats, bland dem Visma Esscom som förser Coop och andra svenska företag med kassalösningar.
Enligt USA:s federala polis FBI är förövarna desamma som de som låg bakom förra månadens utpressningsattack mot den brasilianska köttproducenten JBS. Den slutade med att företaget betalade en lösesumma motsvarande runt 100 miljoner kronor i kryptovalutan bitcoin.
En ransomwareattack innebär att förövaren placerar mjukvara hos måltavlan, lyckas låsa hela dennes system och sedan kräver en lösesumma för att låsa upp det.